Kritische Sicherheitslücken in Suns Java Web Start und Java-Runtime

Taxim
Premium-User

Beiträge: 316

Und noch etwas: Wegen kritischer Lücken in allen vor kurzem noch aktuellen JAVA-Runtimes, sollten alle unbedingt die JAVA-Version updaten.

Kritische Sicherheitslücken in Suns Java Web Start und Java-Runtime

Anwender, auf deren Systemen Suns Java Runtime Environment oder Java Web Start läuft, sollten schleunigst ein Update installieren. Durch eine kritische Sicherheitslücke können manipulierte "untrusted" Applets und JLNP-Dateien die Sicherheitsrestriktionen umgehen und auf beliebige Dateien lesend und schreibend zugreifen. Auch das Starten bereits anderer installierter Anwendungen ist möglich.

Web-Server können den PC so beim Aufruf einer Seite mit Schadcode infizieren. Die Zugriffe erfolgen jeweils im Kontext des angemeldeten Anwenders. Nähere Angaben macht Sun zu den Lücken nicht. Eine ähnlich kritische Lücke in Web Start gab es bereits im März dieses Jahres.

Betroffen sind diesmal Java 2 Platform, Standard Edition(J2SE) 5.0 und 5.0 Update 1 für Windows, Solaris und Linux, J2SE 1.4.2_07 und vorhergehende Versionen für Windows, Solaris and Linux sowie Java Web Start in Java 2 Platform Standard Edition (J2SE) 5.0 und 5.0 Update 1 für Windows, Solaris and Linux. Nicht betroffen sind sämtliche J2SE 1.3.1_xx-Versionen, Java Web Start vor 5.0 und Java Web Start 1.0.1_02 einschließlich der vorhergehenden Versionen.

Die Lücken sind seit Version 5.0 Update 2 für Web Start und die Runtime Environment beseitigt -- verfügbar ist bereits Update 3. Für den 1.4.2-Zweig behebt J2SE 1.4.2_08 das Problem. Alternativ können Anwender die Lücke in Web Start auch beheben, indem sie die Verknüpfung mit JNLP-Dateien lösen. Wie man das macht, beschreibt Sun in dem Advisory Security Vulnerability With Java Web Start.

Siehe dazu auch:

[*]Security Vulnerability With Java Runtime Environment May Allow Untrusted Applet to Elevate Privileges, Fehlerreport von Sun
[*]Security Vulnerability With Java Web Start, Fehlerreport von Sun

(dab/c't)

Quelle: http://www.heise.de/newsticker/meldung/60615

Gotti
Board-Champion

Beiträge: 4498

...danke für den Hinweis.
Hab`s gerade vorgenommen.

Gotti

Taxim
Premium-User

Beiträge: 316

Oh... Habe gerade gesehen, daß es noch mehr zu vermelden gibt.

Gruß,
Tax

Unerlaubter Dateizugriff durch Java-Lücken

Durch mehrere Sicherheitslücken in den Entwicklungs- und Laufzeitumgebungen von Suns Java-Implementierung können sich nicht vertrauenswürdige Applets über ihre Zugriffsrestriktionen hinwegsetzen und vollen Zugang zum Dateisystem mit den Rechten des ausführenden Nutzers erlangen. Der Hersteller veröffentlichte einige Wochen nach Herausgabe aktualisierter Versionen nun entsprechende Advisories. Demnach betreffen die Probleme sämtliche Versionen des Software Development Kits (SDK) und des Java Runtime Environments (JRE) der Serien 1.3 und 1.4, die Laufzeitumgebung Java 2 Standard Edition (J2SE) und das Java Development Kit (JDK) der aktuellen Serie 5.0 unter Windows, Solaris und Linux.

Sieben der Fehler befinden sich in der so genannten Reflection-API, mit der Java-Applikationen beispielsweise für Debugging-Zwecke Zugriff auf interne Klassen und Strukturen der ausführenden virtuellen Maschine erhalten. Eine weitere Schwachstelle, die ebenfalls vollen Dateizugriff mit Nutzerrechten ermöglicht, befindet sich in Java Web Start, das als Teil aktueller Laufzeitumgebungen die Ausführung und Verwaltung von Java-Applets erleichtert. Die genannten Probleme wurden in JDK und JRE 5.0 Update 6 sowie in den älteren SDKs und JREs der Versionen 1.4.2_10 und 1.3.1_17 behoben.

Die installierte Java-Version lässt sich mit dem Kommandozeilenbefehl java -fullversion bestimmen. Liefert der Befehl beispielsweise die Ausgabe 1.5.0_06-b05, so wurde bereits die aktuelle Version 5.0 Update 6 eingespielt. Durch den beliebigen lesenden und schreibenden Dateizugriff mit Benutzerrechten können Java-Applets von manipulierten Websites oder in E-Mails beispielsweise vertrauliche Benutzerdaten auslesen oder Hintertüren auf den betroffenen Systemen öffnen, die sich für weitere Angriffe nutzen lassen. Sun empfiehlt daher allen Anwendern ein umgehendes Upgrade auf eine fehlerbereinigte Version. Wie die Erfahrung bei älteren Java-Problemen zeigt, könnten die weit verbreiteten Implementierungen von Blackdown und IBM die Schwachstellen ebenfalls enthalten.

Quelle: http://www.heise.de/newsticker/meldung/69356

Taxim
Premium-User

Beiträge: 316

Oh, sorry... Habe vergessen, zu unterstreichen: "Suns Java-Implementierung" ist verlinkt.

Nubira
Moderator

Beiträge: 15134

Ist bereits korrigiert!
Du wirst ja hier unser neuer Sicherheits-Experte!
Danke für die vielen wichtigen Tipps.

Nubira

Version 3.1 | Load: 0.002306 | S: 1_2

Autor	Mitteilung
Taxim Premium-User Beiträge: 316	Gesendet: 19:35 - 09.02.2006 Und noch etwas: Wegen kritischer Lücken in allen vor kurzem noch aktuellen JAVA-Runtimes, sollten alle unbedingt die JAVA-Version updaten. Kritische Sicherheitslücken in Suns Java Web Start und Java-Runtime Anwender, auf deren Systemen Suns Java Runtime Environment oder Java Web Start läuft, sollten schleunigst ein Update installieren. Durch eine kritische Sicherheitslücke können manipulierte "untrusted" Applets und JLNP-Dateien die Sicherheitsrestriktionen umgehen und auf beliebige Dateien lesend und schreibend zugreifen. Auch das Starten bereits anderer installierter Anwendungen ist möglich. Web-Server können den PC so beim Aufruf einer Seite mit Schadcode infizieren. Die Zugriffe erfolgen jeweils im Kontext des angemeldeten Anwenders. Nähere Angaben macht Sun zu den Lücken nicht. Eine ähnlich kritische Lücke in Web Start gab es bereits im März dieses Jahres. Betroffen sind diesmal Java 2 Platform, Standard Edition(J2SE) 5.0 und 5.0 Update 1 für Windows, Solaris und Linux, J2SE 1.4.2_07 und vorhergehende Versionen für Windows, Solaris and Linux sowie Java Web Start in Java 2 Platform Standard Edition (J2SE) 5.0 und 5.0 Update 1 für Windows, Solaris and Linux. Nicht betroffen sind sämtliche J2SE 1.3.1_xx-Versionen, Java Web Start vor 5.0 und Java Web Start 1.0.1_02 einschließlich der vorhergehenden Versionen. Die Lücken sind seit Version 5.0 Update 2 für Web Start und die Runtime Environment beseitigt -- verfügbar ist bereits Update 3. Für den 1.4.2-Zweig behebt J2SE 1.4.2_08 das Problem. Alternativ können Anwender die Lücke in Web Start auch beheben, indem sie die Verknüpfung mit JNLP-Dateien lösen. Wie man das macht, beschreibt Sun in dem Advisory Security Vulnerability With Java Web Start. Siehe dazu auch: []Security Vulnerability With Java Runtime Environment May Allow Untrusted Applet to Elevate Privileges, Fehlerreport von Sun []Security Vulnerability With Java Web Start, Fehlerreport von Sun (dab/c't) Quelle: http://www.heise.de/newsticker/meldung/60615
Gotti Board-Champion Beiträge: 4498	Gesendet: 21:30 - 09.02.2006 ...danke für den Hinweis. Hab`s gerade vorgenommen. Gotti
Taxim Premium-User Beiträge: 316	Gesendet: 14:06 - 11.02.2006 Oh... Habe gerade gesehen, daß es noch mehr zu vermelden gibt. Gruß, Tax Unerlaubter Dateizugriff durch Java-Lücken Durch mehrere Sicherheitslücken in den Entwicklungs- und Laufzeitumgebungen von Suns Java-Implementierung können sich nicht vertrauenswürdige Applets über ihre Zugriffsrestriktionen hinwegsetzen und vollen Zugang zum Dateisystem mit den Rechten des ausführenden Nutzers erlangen. Der Hersteller veröffentlichte einige Wochen nach Herausgabe aktualisierter Versionen nun entsprechende Advisories. Demnach betreffen die Probleme sämtliche Versionen des Software Development Kits (SDK) und des Java Runtime Environments (JRE) der Serien 1.3 und 1.4, die Laufzeitumgebung Java 2 Standard Edition (J2SE) und das Java Development Kit (JDK) der aktuellen Serie 5.0 unter Windows, Solaris und Linux. Sieben der Fehler befinden sich in der so genannten Reflection-API, mit der Java-Applikationen beispielsweise für Debugging-Zwecke Zugriff auf interne Klassen und Strukturen der ausführenden virtuellen Maschine erhalten. Eine weitere Schwachstelle, die ebenfalls vollen Dateizugriff mit Nutzerrechten ermöglicht, befindet sich in Java Web Start, das als Teil aktueller Laufzeitumgebungen die Ausführung und Verwaltung von Java-Applets erleichtert. Die genannten Probleme wurden in JDK und JRE 5.0 Update 6 sowie in den älteren SDKs und JREs der Versionen 1.4.2_10 und 1.3.1_17 behoben. Die installierte Java-Version lässt sich mit dem Kommandozeilenbefehl java -fullversion bestimmen. Liefert der Befehl beispielsweise die Ausgabe 1.5.0_06-b05, so wurde bereits die aktuelle Version 5.0 Update 6 eingespielt. Durch den beliebigen lesenden und schreibenden Dateizugriff mit Benutzerrechten können Java-Applets von manipulierten Websites oder in E-Mails beispielsweise vertrauliche Benutzerdaten auslesen oder Hintertüren auf den betroffenen Systemen öffnen, die sich für weitere Angriffe nutzen lassen. Sun empfiehlt daher allen Anwendern ein umgehendes Upgrade auf eine fehlerbereinigte Version. Wie die Erfahrung bei älteren Java-Problemen zeigt, könnten die weit verbreiteten Implementierungen von Blackdown und IBM die Schwachstellen ebenfalls enthalten. Quelle: http://www.heise.de/newsticker/meldung/69356
Taxim Premium-User Beiträge: 316	Gesendet: 14:07 - 11.02.2006 Oh, sorry... Habe vergessen, zu unterstreichen: "Suns Java-Implementierung" ist verlinkt.
Nubira Moderator Beiträge: 15134	Gesendet: 14:17 - 11.02.2006 Ist bereits korrigiert! Du wirst ja hier unser neuer Sicherheits-Experte! Danke für die vielen wichtigen Tipps. Nubira