Sun kom denne uken med nye versjoner av flere av selskapets Java-produkter. Dette skal være rene sikkerhetsoppdateringer. Ny funksjonalitet kan først ventes i neste versjon, som skal gis ut i løpet av neste kvartal.
De fleste av de 16 sårbarhetene som nå fjernes, finnes i eksisterende utgaver av Java JDK, JRE og SDK 1.3.x til 1.6.x/6.x.
Sikkerhetsselskapet Secunia har utgitt en oversikt over samtlige sårbarheter på denne siden.
Der går det fram at utnyttelse av sårbarhetene kan åpne for blant annet tjenestenektangrep, systemadgang og kjøring av vilkårlig kode. Flere av sårbarhetene skyldes overflytsfeil.
Et problem med Java JRE er at installasjonen av oppdateringer på i alle fall Windows ikke sørger for at tidligere, sårbare utgaver blir fjernet fra systemet. Sun oppgir at nye utgaver er bakoverkompatible med eldre versjoner, så det skal være kun i helt spesielle tilfeller at det vil være behov for å beholde eldre utgave av JRE på maskinen.
Normalt vil den nyeste utgaven blir benyttet, men en av sårbarhetene som nå fjernes fra Java Plug-in, gjør det mulig for for applets om å kjøre i eldre utgaver av JRE dersom brukeren sier ja til dette. Dette kan ifølge Secunia utnyttes til å narre en bruiker til å laste en ondsinnet applet inn i en gammel og potensielt sårbar JRE-utgave.
Sårbarhetene er fjernet i JDK og JRE 6 Update 13, i JDK og JRE 5.0 Update 18, i Java SE for Business SDK og JRE 1.4.2_20, samt i SDK og JRE 1.3.1_25.
Alle de aktuelle nedlastingslenkene finnes i anbefalingen fra Secunia, men for de fleste er det oppdateringene på denne siden som er aktuelle.
Les også:
- [02.03.2009] - For vanskelig å oppdatere programvare
