Apple schließt Lücke in Java
Apple hat Updates bereitgestellt, die eine seit mehreren Monaten bekannte kritische Sicherheitslücke schließen. Ein Exploit zum Ausnutzen der Lücke ist seit Längerem verfügbar.
- Daniel Bachfeld
Apple hat Java for Mac OS X v10.4, Release 9 und Java for Mac OS X 10.5 Update 4 bereitgestellt, die eine seit mehreren Monaten bekannte kritische Sicherheitslücke schließen. Mitte Mai hatte der Sicherheitspezialist Landon Fuller einen Exploit veröffentlicht, um zu zeigen, wie einfach sich die Lücke ausnutzen lässt. Apple geriet daraufhin in die Kritik, seine Anwender zu lange ungeschützt zu lassen. Unter anderem forderte Rich Mogull die Einführung eines "Secure Software Development" und die Benennung eines Chief Security Officer (CSO) als treibende, koordinierende Kraft bei Apple, um künftig schneller auf Sicherheitsprobleme reagieren zu können.
Apples Updates schließen noch Dutzende weiterer kritischer Lücken in Java 1.6, 1.5 und 1.4. Allerdings sind Apple-Anwender damit immer noch nicht auf dem neuesten Stand. So wird etwa Java 1.6 nur auf den Stand der offiziellen Version 6 Update 13 gebracht, aktuell ist seit Anfang Juni Update 14 verfügbar. Allerdings hatte Sun nach eigenen Angaben mit dieser Version keine Sicherheitslücken geschlossen. Neu sind in dieser Version aber Blacklists. Damit soll beispielsweise das Java-Plug-in im Browser oder Web Start Java-Klassen aus signierten, aber bekannten verwundbaren JAR-Dateien nicht mehr laden und ausführen können.
Siehe dazu auch:
- About the security content of Java for Mac OS X 10.4 Release 9
- About the security content of Java for Mac OS X 10.5 Update 4
- Experte: Apple muss mehr für Sicherheit tun
- Exploit für ungepatchte Lücke in Mac OS X
(dab)
