13. Juli 2008
Sun Java Remote Vulnerabilities
Zusammenfassung
US-CERT berichtet von neuen schwerwiegenden Schwachstellen in
Sun Java, die es Angreifern ermoeglicht, mittels speziellen Websites,
Untrusted Java Applets auf eine lokale Maschine einzuschleusen, dort
ungehindert Netzwerkverbindungen zu oeffnen und Dateien zu lesen, zu
schreiben und evt. auch auszufuehren.
Laut US-CERT wird ein Upgrade dringend empfohlen.
Auswirkungen
Mittels spezieller Websites ist es moeglich, Java Applets mit
Schadcode auf den lokalen Rechner zu installieren, der ohne
Sicherheitscheck lesend und schreibend auf Dateien und
Netzwerkressourcen zugreifen darf.
Betroffene Systeme
Ein Grossteil aller installierten Client-Systeme mit Webbrowser hat
auch Sun JRE installiert, im geschaeftlichen Umfeld aus
Kompatibilitaetsgruenden mit geschaeftlichen Anwendungen oft
veraltete Versionen.
- Sun JDK und JRE 6 Update 6 und fruehere
- Sun JDK und JRE 5.0 Update 16 und fruehere
- Sun SDK und JRE 1.4.2_17 und fruehere
- Sun SDK und JRE 1.3.1_22 und fruehere
Java Implementationen / JREs anderer Hersteller sind hiervon nicht
betroffen.
Abhilfe
US-CERT empfiehlt, folgende Patches einzuspielen oder Java zumindest
im Webbrowser komplett zu deaktivieren.
Java im Webbrowser deaktivieren:
http://www.us-cert.gov/reading_room/securing_browser/
Patches von Sun:
- JDK and JRE 6 Update 7
- JDK and JRE 5.0 Update 16
- SDK and JRE 1.4.2_18
- SDK and JRE 1.3.1_23
http://java.sun.com/javase/downloads/index.jsp
Informationsquelle(n):US-CERT Advisoryhttp://www.us-cert.gov/cas/techalerts/TA08-193A.html