Sun kom denne uken med oppdateringer til selskapets Java Runtime Environment (JRE) og Java Developer Kit (JDK), som snarest bør installeres av flest mulig. Oppdateringene fjerner en serie med sårbarheter fra programvaren, som er noe er det mest utbredte som finnes.
Sårbarhetene er fjernet i JDK og JRE 6 Update 15, JDK og JRE 5.0 Update 20, samt i Java SE for Business SDK og JRE 1.4.2_22.
Ifølge sikkerhetsselskapet Secunia, som karakteriserer oppdateringene som meget kritiske, er det snakk om i alt åtte sårbarheter. Den ene av disse skyldes en mye omtalt feil i Microsoft Visual Studio Active Template Library (ATL), som har ført til at svært mange ActiveX-kontroller laget med biblioteket er sårbare og må kompileres på nytt med en oppdatert versjon av ATL. JRE bruker ActiveX når den fungerer som plugin til Internet Explorer. Sårbarheten kan utnyttes til å kjøre vilkårlig kode når brukeren besøker en spesielt utformet webside.
Tre av de øvrige sårbarhetene finnes i JRE proxy-mekanismen og kan gi upålitelige applets tilgang til informasjon de normalt ikke skal ha tilgang til, blant annet nettlesercookies og brukernavnet til brukeren.
Flere av de øvrige sårbarhetene skyldes feil å håndteringen av ulike typer innhold, blant annet JPEG-bilder, noe som fører til overflytsfeil som kan utnyttes av ondsinnede til å kjøre vilkårlig kode.
Sikkerhetsoppdateringene kan lastes ned fra denne siden.
Les også:
- [29.07.2009] Mange må lage ActiveX-kontroller på nytt