64064

Kritische Sicherheitslücken in Java

10.07.2008 | 16:16 Uhr |

Die Java Laufzeitumgebung JRE enthält eine Reihe von zum Teil kritischen Sicherheitslücken, die böswilligen Applets den Zugriff auf das lokale Dateisystem ermöglichen. Eine neue Version behebt diese Schwachstellen.

Der Hersteller von Java, Sun Microsystems , hat das Update 7 von Java 6 bereit gestellt, das einige teilweise als kritisch einzustufende Sicherheitslücken in den Vorversionen beseitigt. Dies betrifft eine Reihe von Java-Produkten des Herstellers, auch das JDK (Java Development Kit). Für meisten Anwender dürfte nur die Java Laufzeitumgebung JRE (Java Runtime Environment) interessant sein, die als Plugin im Browser werkelt. Sie ermöglicht die Ausführung von Java-Applets (Anwendungen) innerhalb einer Web-Seite und ist von den Sicherheitslücken ebenfalls betroffen.

Die neue Version Java Runtime 1.6.0_07 (JRE 6 Update 7) behebt zum Beispiel mehrere Fehler, die es böswilligen Applets ermöglichen aus der abgeschotteten Laufzeitumgebung (Sandbox) auszubrechen und auf dem Rechner Dateien zu lesen, zu verändern oder neue Dateien anzulegen. Außerdem können lokalen Anwendungen gestartet werden. Dies alles geschieht gegebenenfalls mit den Rechten des angemeldeten Benutzers. Wer mit Administratorrechten ins Internet geht, ist also stärker gefährdet als jemand, der ein eingeschränktes Benutzerkonto verwendet.

Weitere Fehler können es Java Applets ermöglichen die so genannte "Same Origin Policy" zu umgehen und Verbindungen zu bestimmten lokalen Diensten aufzubauen. Die Same Origin Policy (gleicher Ursprung) ist ein Regelwerk, durch das eine Anwendung nur im Kontext derjenigen Website arbeiten kann, von der aus es geladen wird. Diese Richtlinie gilt auch für Javascript (das außer dem Namen nichts mit Java zu tun hat) und Flash. Das soll so genannte XSS-Angriffe (Cross-Site Scripting) verhindern.

Das Update 7 behebt außerdem eine Schwachstelle, die es einem Applet erlaubt eine ältere Version der Java Laufzeitumgebung zu starten. Da das Installationsprogramm des JRE vorhandene ältere Versionen nicht entfernt, können somit anfällige JRE-Versionen ausgenutzt werden. Sie sollten deshalb unbedingt alle älteren Java-Versionen entfernen, etwa über Systemsteuerung/Software.

Auch die Vorgängergenerationen wie Java 5 (Version 1.5) sind von den Sicherheitslücken (http://secunia.com/advisories/31010/) betroffen. Auch für diese gibt es noch Updates, allerdings nur noch für begrenzte Zeit. Die Unterstützung für die Version 1.4.x endet im Oktober 2008, die für Version 1.5 ein Jahr später. Sie sollten daher einen Wechsel zur aktuellen Java-Generation 6 prüfen.

Download Java Runtime Environment (JRE) 6 Update 7

0 Kommentare zu diesem Artikel
64064