"Sun schließt mehrere Schwachstellen in Java"

Sun hat in vier Fehlerberichten auf Schwachstellen und Sicherheitslücken im Java Runtime Environment (JRE) hingewiesen. Durch einen Fehler im Applet Caching kann ein „untrusted“ Applet Netzwerkverbindungen nicht nur zu dem Server aufbauen, von dem es heruntergeladen wurde, sondern auch zu anderen Systemen beziehungsweise Servern. Normalerweise erlauben dies die Sicherheitsrichtlinien von Java nicht. Des Weiteren kann ein nicht vertrauenswürdiges Applet ein derart großes Fenster öffnen, dass Warnmeldungen des JRE überdeckt werden. Betrüger könnten damit versuchen, Anwendern bestimmte Inhalte als vertrauenswürdig
vorzugaukeln.

Zudem soll ein bösartiges Applet per Drag & Drop Zugriff auf ein System erhalten können. Dazu muss es allerdings nach Darstellung von Sun einen Anwender überzeugen, Dateien aus dem Applet-Fenster auf eine Anwendung zu ziehen, die Schreibrechte auf dem System besitzt.

Die genannten drei Schwachstellen finden sich in JDK und JRE 6 Update 2 und frühere, JDK und JRE 5.0 Update 12 und frühere, SDK und JRE 1.4.2_15 und vorhergehende, sowie SDK und JRE 1.3.1_20 und frühere. Die Fehler sind ab JDK und JRE 6 Update 3, JDK und JRE 5.0 Update 13 und SDK und JRE 1.4.2_16 behoben. Für SDK und JRE 1.3.1 soll die Version 1.3.1_21 demnächst erscheinen.

Darüber hinaus berichtet Sun von drei Lücken in Java Web Start, durch die ein Applet Zugriff auf lokale Dateien und Anwendungen erhält. Alle drei Fehler sind in den oben genannten Versionen zu finden, allerdings nicht jeder Fehler in jeder Version. Einzig SDK und JRE 1.3.1 sind nicht verwundbar – dort gibt es noch kein Web Start. Die Lücken sind ebenfalls in den aktuellen Java-Fassungen behoben. Zu beachten ist, dass Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen. Anwender müssen die alten verwundbaren Versionen also per Hand deinstallieren.

Quelle