Präparierte Zeichensätze hebeln Java-Sicherheit aus
Ursache des Problems ist ein nicht näher beschriebener Fehler, der beim Parsen von in Applets eingebetteten Zeichensätzen auftritt. Applets können ihre Zugriffsrechte auf ein System erhöhen.
Sun macht in einem Fehlerbericht darauf aufmerksam, dass durch eine Sicherheitslücke in Suns Java Runtime Environment (JRE) präparierte Applets ihre Zugriffsrechte auf einem Rechner erhöhen und so auf beliebige Dateien zugreifen, neue Dateien anlegen und lokal installierte Anwendungen starten können. Ursache des Problems ist ein nicht näher beschriebener Fehler, der beim Parsen von in Applets eingebetteten Zeichensätzen auftritt.
Betroffen sind jeweils die Solaris-, Windows- und Linux-Versionen der JDK respektive JRE 5.0 Update 9 und vorherige Versionen sowie SDK und JRE 1.4.2_14 respektive vorherige. JDK und JRE 6 sowie SDK und JRE 1.3.1_xx sind nicht verwundbar. Die Fehler sind seit den Versionen JDK und JRE 5.0 Update 10 behoben, die bereits seit einiger Zeit zur Verfügung steht. In Java 1.4 schließen die aktuellen Versionen der SDK und JRE 1.4.2_15 die Lücken.
Siehe dazu auch:
- Vulnerability in the Java Runtime Environment Font Parsing Code may Allow an Untrusted Applet to Elevate Privileges, Fehlerbericht von Sun
(dab)
