Java 6 Update 15 verfügbar
Sun hat neue Versionen seiner Java-Entwicklungs- und Laufzeitumgebung JDK und JRE 6 Update 15 sowie JDK und JRE 5.0 Update 20 vorgelegt. Darin haben die Entwickler zahlreiche Fehler und auch mehrere Sicherheitslücken beseitigt.
- Daniel Bachfeld
Sun hat JDK und JRE 6 Update 15 sowie JDK und JRE 5.0 Update 20 seiner Java-Entwicklungs- und Laufzeitumgebung vorgelegt. Darin haben die Entwickler zahlreiche Fehler und auch mehrere Sicherheitslücken beseitigt. Unter anderem können nicht vertrauenswürdige (untrusted) Applets auf das System zugreifen. Angreifer können auf diese Weise einen PC unter ihre Kontrolle bringen. Einige der Lücken beruhen auf Integer Overflows bei der Verarbeitung von Bildern sowie im Zusammenhang mit dem JAR-Tool Unpack200. Einen ähnlichen Fehler im JAR-Tool musste Sun bereits im März 2009 beheben.
Darüber hinaus hat Sun weitere Root-Zertifikate in Java aufgenommen sowie die Blacklist erweitert. Die Blacklist existiert seit Java 6 Update 14 und soll verhindern, dass Java-Plug-ins oder Web Start verwundbare Klassen aus signierten JAR-Dateien laden und ausführen können. Anwender sollten daher auf die aktuelle Version 6 (respektive 1.6) wechseln, um in den Genuss dieser Funktion zu kommen. Seit Java 6 Update 10 verfügen die Installationsroutinen für Windows über die Patch-in-Place-Configuration, die dafür sorgen kann, dass ältere Java-Versionen überschrieben werden. Dies soll verhindern, dass ein System mehrere Installationen in verschiedenen Ordnern aufweist. Unter Umständen können dadurch Sicherheitsprobleme auftreten.
Anwender von Mac OS X müssen sich gedulden, bis Apple sein eigenes Java-Update geschnürt hat. Vor drei Monaten sorgte ein Mac-Exploit für Aufruhr, da er eine Lücke in Java ausnutzte, die Apple nach Meinung des Autors mehrere Monate ignoriert und nicht gepatcht hatte.
Siehe dazu auch:
- Changes in 1.6.0_15 (6u15)
- A Security Vulnerability in the Java Runtime Environment Audio System may Allow System Properties to be Accessed
- Security Vulnerabilities With the Proxy Mechanism Implementation in the Java Runtime Environment (JRE) may Lead to Escalation of Privileges
- Integer Overflow Vulnerability in the Java Runtime Environment When Parsing JPEG Images
- A Security Vulnerability With Verifying HMAC-based XML Digital Signatures in the XML Digital Signature Implementation Included With the Java Runtime Environment (JRE) may Allow Authentication to be Bypassed
- Integer Overflow Vulnerability in the Java Runtime Environment (JRE) "Unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges
- Java Standard Edition (Java SE / JDK) im heise Software-Verzeichnis
- Java Runtime Environment (JRE) im heise Software-Verzeichnis
(dab)