184615

Mehr als 20 Sicherheitslücken in Java beseitigt

31.03.2010 | 15:11 Uhr |

Das neueste Sicherheits-Update für Java 6 schließt 27 Sicherheitslücken, die allesamt über das Netz ausnutzbar sind. Sie betreffen auch das Java Browser-Plugin JRE.

Die letzte März-Woche bringt ein ganzes Bündel von Sicherheits-Updates. Neben Microsoft (IE) , Mozilla und Apple hat auch der Sun-Eigentümer Oracle seinen Teil dazu beigesteuert. Oracle hat ein Sicherheits-Update für Java bereit gestellt. Mit Java 6 Update 19 (6u19, 1.6.0_19) werden 27 Sicherheitslücken der Vorversion beseitigt, die über das Netzwerk ausnutzbar sind.

Die von Oracle als "Critical Patch Update" eingestufte Aktualisierung für Java SE (Standard Edition) und Java for Business betrifft auch die für Endanwender interessante Java-Laufzeitumgebung (JRE) für Web-Browser . Die älteren Java-Versionen 1.4 und 1.5 (Java 5) haben das Ende ihrer Lebensdauer bereits seit einiger Zeit erreicht. Updates für diese ebenfalls betroffenen Versionen gibt es nur noch für zahlende Kunden (Java for Business).

Die Entwickler haben 27 Sicherheitslücken geschlossen , von denen nicht alle in allen bisherigen Java-Versionen stecken. Die Mehrzahl der Schwachstellen sind Pufferüberläufe, die sich zum Einschleusen und Ausführen von Code übers Netzwerk ausnutzen lassen. Außerdem haben die Entwickler etliche weitere Bugs behoben, die in den Release Notes aufgeführt sind. Ferner haben sie einige neue Root-Zertifikate hinzu gefügt sowie vorhandene entfernt oder durch solche mit stärkeren Signaturalgorithmen ersetzt.

Den Fehler in der TLS-Protokollspezifikation (TLS-Renegotiation) , der auch zahlreiche andere Software-Hersteller, einschließlich Microsoft betrifft, umschifft Oracle bei Java durch die einstweilige Deaktivierung der TLS-Renegotiation. Ein zukünftiges Update soll die im RFC 5746 veröffentlichten Änderungen am TLS-Protokoll nachvollziehen.

0 Kommentare zu diesem Artikel
184615