Alert! Loch in Suns Java Web Start gefährdet Windows-PCs

Sun hat eine kritische Schwachstelle in Java Web Start unter Windows gemeldet, über die präparierte Java-Start-Anwendungen oder Applets Schreibzugriff auf beliebige Dateien und Verzeichnisse haben, für die der angemeldete Anwender die Rechte besitzt. Laut Sun könne eine Anwendung auf diese Weise auch die Sicherheitsrichtlinien in der Datei .java.policy manipulieren, um beliebige Java-Anwendungen mit erhöhten Rechten zu starten. Damit ließe sich ein System kompromittieren. Für einen erfolgreichen Angriff dürfte der Besuch einer manipulierten Webseite ausreichen.

Betroffen sind Java Web Start in JDK and JRE 5.0 Update 11 und frühere sowie Java Web Start in SDK und JRE 1.4.2_13 (und frühere). Abhilfe schafft das Update auf JDK und JRE 5.0 Update 12 oder SDK und JRE 1.4.2_15. Sun weist mittlerweile selbst darauf hin, dass zur Installation einer neuen Version die Deinstallation der alten Version empfehlenswert ist. Eine Anleitung soll dem Windows-Anwender dabei helfen.

Java Web Start in JDK und JRE 6 sind nicht verwundbar. Auch ist der Fehler in den Solaris- und Linux-Versionen von Java Web Start nicht enthalten. Wo genau der Fehler liegt, schreibt der Hersteller nicht. Der Entdecker der Lücke, der Dienstleister NGSSoftware, gibt detaillierte Berichte üblicherweise erst drei Monate nach der Veröffentlichung eines Updates heraus.

Siehe dazu auch:

• Security Vulnerability With Java Web Start May Allow Application to Escalate Privileges, Fehlerbericht von Sun

(dab)