Sun schließt kritische Lücken in Java

Mit dem Update 2 der Java SE 6 hat Sun am Freitag eine Zero-Day-Lücke geschlossen, die schon im Oktober von einem Mitglied des Google-Security-Teams entdeckt worden war.

Zuerst hatte der Google-Mitarbeiter Chris Evans diese Lücke nur an Sun berichtet und die Entdeckung schließlich am 15. Mai öffentlich gemacht. Sicherheitsexperten hatten die Lücke daraufhin als “äußerst schlimm” bezeichnet.

Sun-Sprecherin Jacki DeCoster empfiehlt den Besuch von Java.de, um dort das Java SE 6 Update 2 herunterzuladen und die neue Version der Java Runtime Environment zu installieren.

Durch das Update wird eine Lücke geschlossen, durch die ein Integer-Überlauf bei der Behandlung von JPEG-Bildern ausgelöst werden kann. Ein weiterer Fehler führt dazu, dass eine lokale Datei durch den BMP-Image-Parser geöffnet werden kann. Beide Schwachstellen betreffen die Versionen vor 1.5.0_11-b03, 1.6.x und 1.6.0_01-b06 des Sun Java Development Kit (JDK). Die BMP-Lücke betrifft nur Unix- und Linux-Systeme.

Weitere Informationen über die einzelnen Patches sowie die betroffenen Schwachstellen hät Sun auf seiner SunSolve-Webseite bereit.