Sun schließt etliche Sicherheitslücken in Java

Java ist eine der wichtigsten Programmiersprachen aus der Frühzeit des Web-Booms. Für praktisch jeden gängigen Browser gibt es ein Java-Plugin, das in Web-Seiten integrierte Java-Applets ausführt. Der Java-Hersteller Sun Microsystems, in diesem Frühjahr von Oracle übernommen, hat das neue Sicherheits-Update Java 6 Update 17 (1.6.0_17, 6u17) bereit gestellt, um etliche Schwachstellen zu beseitigen.

Zu den wichtigeren Neuerungen zählt, dass sich das Browser-Plugin JRE (Java Runtime Environment, Laufzeitumgebung) nun auch auf Windows-Versionen in anderen Sprachen als Englisch über die eingebaute Update-Funktion aktualisieren kann, wenn eine neue Java-Version bereit steht. Bis einschließlich Java 6 Update 16 funktioniert das nämlich nicht, Anwender deutscher Windows-Versionen müssen JRE-Updates von Hand einspielen - nun hoffentlich ein letztes Mal.

Mit Java 6 Update 7 werden auch teils kritische Sicherheitslücken beseitigt. So ermöglicht ein Fehler im JRE Deployment Toolkit einer präparierten Web-Seite das Einschleusen und Ausführen von beliebigem Code. Ein Bug im Java Web Start Installer kann ausgenutzt werden, um beliebige Java Webstart-Anwendungen als vertrauenswürdige Anwendung zu starten.

Eine Reihe von Schwachstellen im Umgang mit Audio- und Bilddateien kann zu Pufferüberläufen führen, die ausgenutzt werden können, um ein Java-Applet oder eine Java Webstart-Anwendung mit höheren Rechten auszuführen. Das Fälschen digitaler Signaturen ermöglicht ein ebenfalls beseitigter Fehler bei der Behandlung von HMAC-Digests. Sun schätzt, dass etwa 800 Millionen Anwender Java auf ihrem Rechner installiert haben. Die überwiegende Mehrheit nutzt nur das Browser-Plugin JRE und muss nicht das komplette Entwicklungssystem JDK (Java Software Development Kit) installieren. Ältere Java-Generationen bis einschließlich Java 5 (auch als Version 1.5 bezeichnet) haben ihr Haltbarkeitsdatum erreicht oder überschritten und sollten ersetzt werden. Download JRE 6 Update 17. (PC Welt/mje)