[Internet allg.] Sicherheitslöche bei Sun Java

[Bio-logisch]

Sicherheitslöche bei Sun Java

In den Implementierungen der Sun jre für den Internetexplorer und Mozilla / Firefox wurde eine Sicherheitslücke gefunden, die es dem Angreifer ermöglicht beliebigen Code an der Sandbox vorbei im System auszuführen.

Opera ist hierfür nicht anfällig, da hier Java nicht über die Pluginschnittstelle implementiert ist.
Dafür wurde hier aber eine andere Lücke gefunden, die es ermöglicht Informationen über das System auszulesen und den Browser gezielt zum Absturz zu bringen.

Näheres auf Golem.de:
http://www.golem.de/0411/34834.html

 

[donar73]

Danke für den Hinweis! Weiß jemand ob auch die Version 5.0 (1.5.0) betroffen ist?

 

[JensusUT]

Die 1.5 (oder 5?) soll nicht betroffen sein.
Falls die 1.42 weiterhin genutzt werden soll, unbedingt auf die 1.4.2_06 updaten.
Die Version 5 gibt es hier

Beachten: Der Fehler kann betriebssystemunabhängig eingesetzt werden, Zitat von Heise:

Die Fehler findet sich in der Java 2 Platform, Standard Edition (J2SE) in allen Versionen vor 1.4.2_06. Browser wie der Internet Explorer, Mozilla und Firefox sind sowohl unter Windows als auch unter Unix angreifbar, wenn sie eine betroffene Virtual Machine verwenden. Sun hat den Fehler in der per Download verfügbaren J2SE 1.4.2_06 behoben. Alternativ schützt das Abschalten von Java und Javascript vor solchen Angriffen. Microsofts Virtual Machine ist nicht von dem Problem betroffen.
Info-Link Heise

Weitere Info aus dem Troll, äh... Heiseforum:

Hallo zusammen, also ich gehör' ja nicht zu denen, die bei jeder Lücke über die Programmierer wettern, die es hätten wissen müssen, aber diese Lücke ist wirklich groß wie ein Scheunentor und wirklich trivial. Wirklich SEHR trivial - so trivial, daß sie jeder DEPP auch ausnutzen kann.
Da konnte ich also nicht widerstehen *g*. Ach ja: Und ich wollte wissen, ob sie in Java 5 auftritt, was in keinem der Artikel/Posts zufriedenstellend beantwortet wurde. Antwort: Tritt in Java 5 nicht auf.
Wer sich überzeugen möchte:

http://www.finch.de/javatest/​

In Java 1.4.2_01 geht's, in Java (1.)5 kommt: Error: uncaught exception: java.security.PrivilegedActionException: java.security.PrivilegedActionException: java.lang.reflect.InvocationTargetException
Von/Bei Sun habe ich übrigens kein Statement dazu gefunden, was eigentlich das traurigste an der ganzen Geschichte ist!! (oder hat jemand einen Link?!) Und scheinbar wurden sie am 29.4. (!) auf das Problem aufmerksam gemacht, haben also ein knappes halbes Jahr gebraucht, um diese doch SEHR kritische Lücke (IMHO) zu schließen. Da haben sie sich nicht gerade mit Ruhm bekleckert... Ich habe vor Jahren mal einen Bug in Swing eingereicht - schön mit Testcase sogar. Der Bug wurde nach 2 Tagen bestätigt und nach 2,5 Jahren gefixt. Ja, genau. Damals war die 1.4 noch in Beta, wenn ich mich recht erinnere. Gefixt wurde es dann in 1.5. Und dabei führte er zum Programmabsturz. Finde ich auch ein bißchen "traurig"... (( P.S.: Um das nochmal zu sagen: Diese Lücke kann jedes Script-Kiddie für böse Sachen innerhalb von Minuten ausnutzen! Hier sollte wirklich jeder sofort sein Java upgraden!

 

[Bio-logisch]

Ach ja: Und vielen Dank für Dein blindes Vertrauen und ggfalls Deine großzügige Spende )) kostenlose counter @ www.counter-kostenlos.net

:lachweg

 

[JensusUT]

Gut gemacht, nicht war ?

 

[donar73]

:finger

 

[JensusUT]

Södele, Heise hat auch ein wenig gebastelt und ein Test auf ihrer Browsercheck-Seite veröffentlicht.

Zitat:

Test für Java-Lücke
heise Security hat auf dem c't-Browsercheck einen Test eingebaut, der das gestern gemeldete Sicherheitsproblem in Suns Java-Plugins überprüft. Durch einen Fehler kann JavaScript-Code auf sicherheitsrelevante Methoden eines Java-Applets zugreifen. Damit könnte ein Applet aus der Sandbox ausbrechen und beispielsweise Dateien überschreiben oder lesen und übers Netz versenden.
Sun hat den Fehler zwar in Version 1.4.2_06 beseitigt und stellt diese Version als Java Runtime Environment (JRE) für Windows, Linux und Solaris zum Download bereit. Doch unglücklicherweise sind auf diversen Sun-Seiten -- unter anderem der deutschen Download-Seite -- noch ältere Versionen verlinkt, die den Fehler noch enthalten. Die JRE 1.5 -- auch als Standard Edition 5.0 bezeichnet -- ist nicht von dem Problem betroffen. Das unter Linux sehr beliebte Java der Blackdown-Gruppe wies den Fehler ebenfalls auf. Die Entwickler haben ihn in Version 1.4.2_01 behoben und ein eigenes Advisory veröffentlicht. Unerfahrene Linux-Anwender sollten jedoch besser warten, bis ihr Distributor aktualisierte Java-Pakete bereitstellt.
Der Test auf dem Browsercheck versucht, via JavaScript eine harmlose, aber eigentlich gesperrte Methode eines aktiven Java-Applets anzusprechen. Gelingt dies, ist das Java-Plugin verwundbar und der Test liefert eine dementsprechende Meldung.

Link