Sicherheits-Update für Java

[Christoph]

Zitat:

Die neue Java-Version 6 Update 24 beseitigt 21 Sicherheitslücken der Vorversionen, von denen 20 auch das Browser-Plugin JRE betreffen. Außerdem hat Oracle einen Fließkommafehler behoben, der für DoS-Angriffe nutzbar wäre.

Oracle hat in Java 6 Update 24 (6u24, 1.6.0_24) eine Reihe als kritisch eingestufter Schwachstellen ausgeräumt. Sie betreffen sowohl die Java Laufzeitumgebung (JRE) als auch Java SE und Java for Business. Die neue Version behebt auch einen Fehler bei der Umwandlung einer bestimmten Zeichenkette in eine Fließkommazahl, durch den der Prozessor in eine Endlosschleife geschickt würde. Der gleiche Fehler ist erst kürzlich in PHP beseitigt worden.

Acht der mit der neuen Version geschlossenen Lücken sind mit einem CVSS Score von 10.0 bewertet, der höchsten Risikostufe. Die Schwachstellen können also über das Netzwerk ausgenutzt werden, um Code einzuschleusen und auszuführen. Ist der Benutzer als Administrator angemeldet, kann der Angreifer die volle Kontrolle über den Rechner übernehmen.

Bestandteil von Java 6 Update 24 (nicht jedoch der JRE) ist auch die neue Version 10.6.2.1 der Java DB (Datenbank). Darin hat Oracle Lücke Nummer 21 gestopft, die nur lokal ausnutzbar ist (CVSS Score 2.1).

Für die 64-Bit-Versionen von Windows wird im Regelfall die 32-Bit-Fassung der JRE benötigt. Kommt die 64-Bit-Ausgabe des Internet Explorer zum Einsatz, muss dafür die 64-Bit-Fassung der JRE installiert werden -- gegebenenfalls zusätzlich zur 32-Bit-JRE, die für Firefox oder Opera gebraucht wird.

Quelle: http://www.magnus.de/news/sicherheit...a-1078217.html