Updates für Java beheben zahlreiche Sicherheitslücken
Zu den Lücken gehören DoS-Schwachstellen, Buffer Overflows und andere Fehler, die zum Absturz führen können oder einem präparierten Applet Zugriff auf bestimmte Ressourcen, das Dateisystem oder gar den ganzen Rechner gewähren.
- Daniel Bachfeld
Sun Microsystems weist auf Updates für Java hin, die zahlreiche Fehler und Schwachstellen im Java Development Kit (JDK) und dem Runtime Environment (JRE) beseitigen sollen. Dazu gehören DoS-Schwachstellen, Buffer Overflows und andere Fehler, die zum Absturz führen können oder einem präparierten Applet Zugriff auf bestimmte Ressourcen, das Dateisystem oder gar den ganzen Rechner gewähren. Die Fehler finden sich unter anderem in Java Web Start, dem Java Management Extensions (JMX) Management Agent und den Funktionen zur Verarbeitung von XML-Daten.
Allerdings sind nicht alle der gemeldeten Fehler in allen Versionen enthalten, zudem einige davon bereits in bestimmten Java-Versionen nicht mehr enthalten. Da Sun die Erklärungen zu den einzelnen Problemen auf acht Fehlerberichte verteilt, gestaltet sich für Anwender die Einschätzung schwierig, welche Versionen nun wovon betroffen sind. Grundsätzlich sind alle aufgeführten Fehler aber in der neuesten Version JDK und JRE 6 Update 7, JDK und JRE 5.0 Update 16, SDK und JRE 1.4.2_18 sowie SDK und JRE 1.3.1_23 behoben.
Die drei älteren Java-Versionen (1.3.1, 1.4.2 und 5) befinden sich bereits in der sogenannten Technology End of Life (EOL) Transition Period oder haben diese bereits beendet. Für 1.3.1 gibt es etwa nur noch Updates für Solaris. Die Unterstützung für 1.4.2 wird am 30. Oktober 2008 enden, die für Version (1.)5 am 30. Oktober 2009. Ab dann gibt es keine Sicherheits-Updates mehr. Anwender sollten daher in Erwägung ziehen, gleich auf Version 6 (die eigentlich 1.6 ist) zu wechseln. Da die Java-Installationsprogramme ältere Versionen der Software nicht deinstallieren, müssen Anwender diese manuell entfernen, beispielsweise unter Windows in der Systemsteuerung.
Siehe dazu auch:
- Security Vulnerabilities in the Java Runtime Environment related to the processing of XML Data, Fehlerbericht von Sun
- A Security Vulnerability with the processing of fonts in the Java Runtime Environment may allow Elevation of Privileges, Fehlerbericht von Sun
- Security Vulnerabilities in the Java Runtime Environment Scripting Language Support, Fehlerbericht von Sun
- Multiple Security Vulnerabilities in Java Web Start may allow Privileges to be Elevated, Fehlerbericht von Sun
- Security Vulnerability in Java Management Extensions (JMX), Fehlerbericht von Sun
- Security Vulnerability in JDK/JRE Secure Static Versioning, Fehlerbericht von Sun
- Security Vulnerability in the Java Runtime Environment Virtual Machine may allow an untrusted Application or Applet to Elevate Privileges, Fehlerbericht von Sun
- Security Vulnerabilities in the Java Runtime Environment may allow Same Origin Policy to be Bypassed, Fehlerbericht von Sun
(dab)
