932428

Security Update 2005-002

24.02.2005 | 10:53 Uhr |

Spät, aber doch: Apple schließt die Sicherheitslücke in Java 1.4.2, die Sun bereits im November 2004 entdeckt und veröffentlicht hat.

Apple hat am 22. Februar das Security Update 2005-002 veröffentlicht, das eine Lücke im Java-Basissystem schließt. Dieses Basisssystem (oft als Java-Umgebung bezeichnet) ist nötig, um Java-Programme im Browser oder direkt im Finder aufzurufen und auszuführen.

Im November 2004 wurde bekannt, dass die Version 1.4.2 der Standard-Java-Umgebung eine Sicherheitslücke hat: Durch einen geschickten Mix aus Javascript und Java-Befehlen kann man die Sicherheitsmechanismen von Java umgehen und direkt auf das Dateisystem des Rechners zugreifen. Dort darf das Java-Programm dann Dateien ausführen oder löschen, ohne dass der Benutzer etwas davon merkt.

Apples Update sollten deshalb alle einspielen, die Java 1.4.2 auf dem Mac haben, was in der Regel immer dann zutrifft, wenn man mindestens Mac-OS X, Version 10.3.4 oder höher installiert hat. Die Grundversion von Java lautet auch nach dem Update 1.4.2, allerdings verändern sich durch das Update die Versionsnummern der beiden wichtigsten Java-Komponenten unter Mac-OS X: Java Web Start (im Ordner "Programme > Dienstprogramme > Java" hat nach dem Update die interne Versionsnummer 2.1.0 (vorher 2.0.2), das dazugehörige Browser-Plug-in (im Ordner "/Library/Internet Plug-Ins") wechselt von Build-Version 1 auf Build-Version 865.

Die Sicherheitsfirma Secunia hat in ihren üblichen effekthaschenden Meldungen zu dem Sicherheitsupdate einen kleinen Punkt übersehen: Selbst wenn ein Hacker diese Sicherheitslücke in Mac-OS X mit einem Java-Programm ausnutzt, erhält er nur die Rechte, die der gerade angemeldete Benutzer hat. Und diese Rechte sind in Mac-OS X deutlich mehr eingeschränkt als in Windows, Solaris und Linux. Sprich: Bei den anderen Betriebssystemen sind die Risiken eines solchen Einbruchs wesentlich höher als bei Mac-OS X.

Update-Empfehlung : Wer Mac-OS X 10.3.4 oder höher installiert hat, sollte das Update unbedingt installieren. Es ändert lediglich die Java-Umgebung und schließt dort eine Sicherheitslücke.

0 Kommentare zu diesem Artikel
932428