Sun patcht hochkritisches Java-Leck

Sun Microsystems hat ein kritisches Leck im Java Runtime Environment (JRE) gepatcht.

Zwar wurde das Problem bereits vor sechs Monaten an Sun gemeldet, doch die Lücke zu patchen erforderte, einem Bericht in der US-Presse zufolge, viel Arbeit.

Durch den Alert Nummer 102760 hat Sun die Öffentlichkeit jetzt darauf aufmerksam gemacht. Die Lücke hätte demnach einen Angreifer in die Lage versetzt, ein nicht vertrauenswürdiges Applet auszuführen und die Nutzerprivilegien zu verändern. Dies sei möglich gewesen wegen unvollständiger GIF-Berechnungen und -Ausgaben.

Das Leck ist Teil einer möglichen Puffer-Überlaufgefahr. Sie hätte sich, laut einer Mitteilung aus der Konzernzentrale, selbst “berechtigt”, lokal abgelegte Dateien zu lesen und zu verändern. Dies, perfiderweise, ohne Warnung und ohne Anzeige, dass es überhaupt einen Exploit gegeben hatte. Die Lücke betraf JRE auf Windows, Solaris und Linux. Sun hat die Lücke durch ein Update in Java selbst geschlossen. Es gibt derzeit keine Meldungen, dass die Lücke ausgenutzt wurde.