Sicherheitslücken in Java

Sicherheitslücken in Java haben den Hersteller Sun zur Bereitstellung von Sicherheits-Updates veranlasst. Durch die entdeckten Schwachstellen können manipulierte oder speziell erstellte Java-Applets ihre Berechtigungen ausweiten und auf lokale Dateien und Anwendungen zugreifen.

Eigentlich sollten Java-Applets in der so genannten “Sandbox”, der Java-Laufzeitumgebung, ablaufen und nicht auf beliebige lokale Dateien zugreifen können. Ausnahmen sind signierte Applets, die als “trusted” (vertrauenswürdig) eingestuft sind. Durch die von Adam Gowdiak entdeckte Schwachstelle ist dies auch beliebigen “untrusted” Applets möglich. Sie können Dateien lesen und schreiben sowie installierte Anwendungen starten. Sie dürfen im Prinzip alles, was der angemeldete Benutzer darf. Eine ähnlich problematische Schwachstelle in Java Web Start wurde bereits im März bekannt und gestopft .

Von dem Problem betroffen sind J2SE (Java 2 Standard Edition) Version 5.0, einschließlich Update 1, die entsprechenden Versionen von Java Web Start sowie die Version J2SE 1.4.2_07 und ältere Versionen. Das Problem besteht sowohl unter Windows als auch unter Linux und Solaris. Nicht betroffen sind die älteren Java-Versionen der 1.3.1-Generation, Java Web Start vor Version 5.0 sowie Java Web Start bis einschließlich 1.0.1_02. Welche Java-Version installiert ist, lässt sich auf der Kommandozeile mit dem Befehl “java -fullversion” ermitteln.

Die Sicherheitslücke wurde in Java 5.0 Update 2 behoben, aktuell ist Update 3. Anwender, die noch mit 1.4.2-Versionen arbeiten, sollten auf die Version 1.42_08 aktualisieren. Von der Download-Seite für Java folgen Sie etwa dem Link zu “J2SE 5.0” und laden “JRE 5.0 Update 3” herunter. Für Version 1.4.2 folgen Sie dem Link “J2SE 1.4.2” und laden “J2SE JRE” herunter. Sun empfiehlt die Deinstallation der betroffenen Software vor der Installation der neuen Versionen.