Sun meldet kritische Sicherheitslücken in Java-Laufzeitumgebung
Eine präparierte Seite kann über untrusted Applets den Rechner mit Schadcode infizieren.
Der Hersteller Sun meldet fünf kritische Sicherheitslücken in älteren Versionen seiner Java-Laufzeitumgebung (Java Run-Time Environment, JRE), mit der untrusted Applets aus der Sandbox ausbrechen und die Kontrolle über den Rechner erlangen können. Eine präparierte Seite kann auf diese Weise den Rechner mit Schadcode infizieren, sofern Suns Java installiert ist. Anwender sollten ihre Version überprüfen und gegebenenfalls aktualisieren.
Drei der Fehler (Bug-IDs 6263857, 6277266 und 6277659) treten bei Verwendung so genannter Reflection APIs auf, ein weiterer Fehler (Bug 6268876) steckt in den Java Management Extensions (JMX). Ein anderer Fehler (6243400) scheint allgemeinerer Natur zu sein. Sun macht zu den Schwachstellen aber keine weiteren Angaben. Die Fehler sind über diverse Versionen der JRE, JDK und SDK verteilt und finden sich sowohl unter Windows und Solaris als auch Linux. Betroffen sind:
BugID 6243400: JDK/JRE 5.0 Update 3
BugID 6268876: JDK/JRE 5.0 Update 3
BugID 6263857: SDK/JRE 1.3.1_15, 1.4.2_08, JDK/JRE 5.0 Update 3
BugID 6277266: SDK/JRE 1.4.2_08, JDK/JRE 5.0 Update 3
BugID 6277659: SDK/JRE 1.4.2_08, JDK/JRE 5.0 Update 3
(jeweils einschließlich dieser und den vorhergehenden Versionen)
Der Hersteller empfiehlt auf JDK und JRE 5.0 Update 4, J2SE 5.0 beziehungsweise SDK und JRE 1.4.2_09 zu aktualiseren. Derzeit stehen bereits JDK und JRE 5.0 Update 5 sowie SDK und JRE 1.4.2_10 zum Download bereit.
Siehe dazu auch: (dab)
- Security Vulnerabilities in the Java Runtime Environment Advisory von Sun
- Security Vulnerability With Java Management Extensions in the Java Runtime Environment Advisory von Sun
- Security Vulnerabilities in the Java Runtime Environment 2 Advisory von Sun
