13.06.2012 09:33
Alert! Oracle schließt gravierende Java-Lücken
JavaSE-Nutzer sollten so bald wie möglich ihre JDK- und JRE-Pakete aktualisieren, empfiehlt Oracle in den Erklärungen zu seinem heutigen Update. Es behebt 14 Sicherheitslücken, von denen 6 als besonders schwerwiegend eingestuft sind: Sie erlauben Angriffe über das Netz ohne vorherige Authentifizierung.
Zu den Details macht Oracle selbst nur wenige Angaben. Die sechs Bugs betreffen offenbar Web-Start-Anwendungen und Java-Applets, die als nicht vertrauenswürdig eingestuft sind – etwa weil sie ohne Zertifikat ausgeliefert werden oder weil die Zertifikatsprüfung gescheitert ist. Eine der Lücken könne auch, so heißt es weiter, durch das Weiterreichen von Daten an Java-APIs ausgenutzt werden, etwa per Web Service.
Mehr Informationen hält der Linux-Anbieter Red Hat in seiner Fehlerdatenbank bereit. Der jetzt beseitigte Bug CVE 2012-1723 betrifft demzufolge den Java-Hotspot-Compiler, der die Zugriffsrechte für Klassen- und Objektattribute nicht immer prüft. Dadurch könne eine spezielle Klassendefinition unter Umständen die Grenzen der Java-Sandbox durchbrechen. Die unter CVE 2012-1713 zusammengefassten Lücken finden sich im nativen Code für den Fontmanager. Eine manipulierte Schriftdatei könne dadurch die JVM abstürzen lassen oder ihren Speicherbereich so manipulieren, dass die virtuelle Maschine beliebigen Code mit ihren Rechten ausführe.
Der in der GUI-Bibliothek Swing beseitigte Bug CVE 2012-1716 hätte durch unkontrollierten Zugriff auf bestimmte Bedienelemente ebenfalls die JVM abstürzen lassen können oder das Umgehen Sandbox-Einschränkungen ermöglicht. Dieselben Folgen hat auch CVE 2012-1711 in der CORBA-Implementierung (Common Object Broker Request Architecture).
Das Update betrifft die JavaSE-Versionen 7 (Update 4 und früher), 6 (Update 32 und früher), 5 (Update 35 und früher) sowie 1.4.2_37 und früher sowie JavaFX 2.1 und früher. Es steht bei Oracle für Linux, Solaris und Windows zum Herunterladen bereit.
Für Mac OS X 10.6 und 10.7 bietet Apple ebenfalls eine aktuelle Version von Java 6 an – sie erscheint damit erstmals seit längerem gleichzeitig mit der Windows-Version. Wer auf dem Mac Java 7 aktualisieren möchte, muss aber Oracles Server bemühen, da Apple selbst Java 7 nicht anbietet. Das Apple-Update integriert eine neue Funktion, die das Java-Plug-in automatisch deaktiviert, wenn für eine gewisse Dauer keine Applets gelaufen sind.
Siehe dazu auch:
- Java Runtime Environment (JRE) im heise Software-Verzeichnis
- Java Standard Edition (Java SE / JDK) im heise Software-Verzeichnis
(ck)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
