Hoch kritische Sicherheitslücken in Java

Die von Sun erst in dieser Woche gemeldeten Fehler sind in älteren Versionen des Java Runtime Environment (JRE) enthalten. Über eine Reihe von Schwachstellen können Angreifer das System kompromittieren:

• Ein nicht näher benannter Fehler erlaubt es nicht vertrauenswürdigen Applets, lokale Dateien auszulesen, in diese zu schreiben oder lokale Anwendungen auszuführen. Diese Sicherheitslücke ist bestätigt für die JDK/JRE 5.0 Update 3 und niedriger unter Windows, Solaris und Linux. Die SDK/JRE 1.4.2_xx und niedriger sowie die Releases der 1.3.1_xx-Serie sind nicht betroffen.

• Drei nicht näher genannte Lücken in den "reflection“-APIs lassen sich ebenfalls nutzen, um Dateien auszulesen, in sie zu schreiben oder beliebige Anwendungen auszuführen. Folgende Versionen enthalten eine oder mehrere dieser Lücken: SDK und JRE 1.3.1_15 und niedriger, SDK und JRE 1.4.2_08 und niedriger, JDK und JRE 5.0 Update 3 und niedriger.

• Ein nicht genannter Fehler in der JMX (Java Management Extensions), die im JRE implementiert ist, ermöglicht einem Angreifer ebenfalls Zugriff auf das System. Diese Sicherheitslücke ist bestätigt für die JDK/JRE 5.0 Update 3 und niedriger unter Windows, Solaris und Linux. Die SDK/JRE 1.4.2_xx und niedriger sowie die Releases der 1.3.1_xx-Serie sind nicht betroffen.

Lösung

Sun empfiehlt die Installation der bereits verfügbaren neueren Versionen:
JDK und JRE 5.0: Aktualisieren Sie auf JDK und JRE 5.0 Update 4 oder höher.
SDK und JRE 1.4.x: Aktualisieren Sie auf SDK und JRE 1.4.2_09 oder höher.
SDK und JRE 1.3.x: Aktualisieren Sie auf SDK und JRE 1.3.1_16 oder höher.

Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter (bis zu mehrmals täglich) hier bestellen. Eine weitere Möglichkeit ist, die ebenfalls kostenlose tägliche tecCHANNEL Security Summary zu abonnieren, die Sie in der Regel vor 12.00 Uhr am Folgetag erhalten. (mec)