Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-44

[Generic/JRE] Schwachstelle in der Sun Java Runtime Environment
(2000-12-04 21:36:28+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/win-sec-ssc/2000/11/msg00077.html

In der Java Run Time Environment (JRE) 1.1.x und 1.2.x von SUN existiert eine potentielle Sicherheitslücke, die einer untrusted Java class erlaubt, Klassen zu laden, für die sie keine Berechtigung hat.

Betroffene Systeme

  • Windows Production und Sun/Solaris Reference Releases
    • JDK/JRE 1.2.2_004 oder früher
    • JDK/JRE 1.2.1_003 oder früher
    • JDK/JRE 1.1.8_002 oder früher
    • JDK/JRE 1.1.7B_005 oder früher
    • JDK/JRE 1.1.6_007 oder früher

  • Sun/Solaris Production Releases
    • JDK/JRE 1.2.2_05 oder früher
    • JDK/JRE 1.2.1
    • JDK/JRE 1.1.8_10 oder früher
    • JDK/JRE 1.1.7B
    • JDK/JRE 1.1.6

  • Linux Production Release
    • JDK/JRE 1.2.2_005 oder früher

  • HotSpot
    • HotSpot(TM) 1.0 und 1.0.1 virtual machines

  • O. g. JDK/JRE-Releases auf anderen Plattformen
    • HP9000 Series 700/800 unter HP-UX 10.20 und 11.00
    • möglicherweise die Java Virtual Machine (JVM) einiger Versionen des Netscape Communicator
    • vermutlich weitere Plattformen

Beschreibung
Unter bestimmten Umständen ist es möglich, daß in den o. g. Releases der JRE eine untrusted class eine Klasse aufruft, für die sie keine Berechtigung hat. Dies kann dazu führen, daß Java-Applikationen unberechtigt Zugriff auf geschützte Ressourcen erhalten.

Im Falle, daß ein Java-Applett durch die JRE einer durch diese Schwachstelle verwundbaren JVM eines Netscapebrowsers ausgeführt wird, ist das 'Ausbrechen' des Applets aus der Sandbox und sein unerlaubter Zugriff auf normalerweise geschützte Ressourcen nicht ausgeschlossen. In dieser Konstellation sind Angriffe auf Rechner, die eine in solcher Weise verwundbare Netscape Communicator-Version installiert haben, durch maligne Java-Applets, die von einem Webserver heruntergeladen werden, denkbar.

Gefahrenpotential
Aufgrund der bis dato dürftigen Information über diese Schwäche, ist eine Einschätzung des Gefahrenpotentials schwierig und sollte daher mindestens als mittel angenommen werden.

Gegenmaßnahmen

  • Im Falle der Sun Releases der JDK/JRE sollte ein von Sun zur Verfügung gestellter Patch installiert werden. Der Patch ist verfügbar unter:
    ftp://ftp.cert.dfn.de/pub/vendor/sun/patches/
    Sun empfiehlt außerdem, wenn möglich die neueste Version der JDK/JRE zu installieren.
  • Netscapebenutzer sollten bis zur Klärung der Frage, ob die verwendete JVM in beschriebener Weise verwundbar ist, die Ausführung von JAVA-Code im Browser deaktivieren.

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.