Sun Java JRE bis 1.5.x korruptes GIF-Bild Heap-Overflow • scip AG VulDB

VulDB: Sun Java JRE bis 1.5.x korruptes GIF-Bild Heap-Overflow

Allgemein

scipID: 2842
Betroffen: Sun Java JRE bis 1.5.x
Veröffentlicht: 17.01.2007 (ZDI)
Risiko: kritisch

Beschreibung

Taxierung der Schwachstelle

Java ist eine von Sun entwickelte plattformunabhängige Programmiersprache und nicht mit Java-Script zu vergleichen. Die Plattformunabhängigkeit wird dadurch erreicht, dass der kompilierte Programmcode zur Laufzeit interpretiert wird. Sehr gern wird Java auf Webseiten genutzt. Um den Missbrauch und erweiterte Rechte durch ein Java-Applet zu verhindern, wird dieses in einer sogenannten Sandbox ausgeführt. In dieser werden die Zugriffe auf Systemressourcen und Ressourcen anderer Benutzer oder Programme eingeschränkt oder gar verhindert. Über ZDI wurde nun ein Heap-Overflow, mit dem erweiterte Rechte erlangt werden können, publiziert. Das Problem liegt bei der Interpretation korrupter GIF-Bilder. Weitere Details oder ein Exploit sind nicht bekannt. Sun wurde frühzeitig über das Problem informiert und konnte deshalb zeitgleich mit der Publikation der Schwachstelle eine aktualisierte Version zur Verfügung stellen.

Dieses Problem zeigt einmal mehr auf, wie undurchsichtig Java und seine Implementation sind. Der Skeptizismus gegenüber dieser plattformunabhängigen Sprache ist also auch weiterhin nachvollziehbar.