Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 16 reacties, 5.187 views •
Bron: Sun, submitter: mastbroek

Sun heeft voor zowel de developmentkit als de runtime-environment van Java Standard Edition 6.0 de zeventiende update uitgebracht, waarbij het exacte versienummer op 1.6.0_17-b04 is komen te liggen. De ontwikkelaars hebben de beveiliging van verschillende onderdelen verbeterd en een lijstje met bugs afgewerkt. De lijst met veranderingen voor deze zeventiende update ziet er als volgt uit:

Changes in 1.6.0_17 (6u17)

The full internal version number for this update release is 1.6.0_17-b04 (where "b" means "build"). The external version number is 6u17.

OlsonData 2009m
6u17 contains Olson time zone data version 2009m. For more information, refer to Timezone Data Versions in the JRE Software.

Security Baseline
6u17 specifies the following security baselines for use with Java Plug-in technology:

JRE Family version 5.0
Java SE Security Baseline 1.5.0_22
Java SE for Business Security Baseline 1.5.0_22

JRE Family version 1.4.2
Java SE Security Baseline 1.4.2_19
Java SE for Business Security Baseline 1.4.2_24

On October 30, 2008, Java SE 1.4.2 reached its end of service life with the release of 1.4.2_19. Future revisions of Java SE 1.4.2 (1.4.2_20 and above) include the Access Only option and are available to Java SE for Business subscribers. For more information about the security baseline, see Deploying Java Applets With Family JRE Versions in Java Plug-in for Internet Explorer.

Root Certificates
Root Certificates are included in this release.
  • Added one new root certificate for SECOM. (Refer to 6872579.)
  • Added one new root certificate for GlobalSign. (Refer to 6860447.)
Blacklist Entries
There are no new blacklist entries in this update release.

Bug Fixes
This release contains fixes for one or more security vulnerabilities. For more information, please see Sun Alerts 269868, 269869, 269870, 270474, 270475, and 270476.

Bug fixes for vulnerabilities are listed in the following table.
  • java - classes_2d - ICC_Profile allows detecting if some files exist
  • java - classes_2d - TrueType font parsing crash when stressing Sun Bug 6751322 test case
  • java - classes_2d - X11 and Win32GraphicsDevice don't clone arrays returned from getConfigurations()
  • java - classes_2d - JPEG JFIF Decoder issue
  • java - classes_2d - Image Color Profile parsing issue
  • java - classes_2d - JRE AWT setDifflCM vulnerable to Stack Overflow
  • java - classes_2d - JRE AWT setBytePixels vulnerable to Heap Overflow
  • java - classes_awt - Component and [Default]KeyboardFocusManager pass security sensitive objects to loggers
  • java - classes_lang - (cl) Resurrected ClassLoaders can still have children
  • java - classes_security - Disable MD2 in certificate chain validation
  • java - classes_security - SECURITY: MessageDigest.isEqual introduces timing attack vulnerabilities
  • java - classes_security - ASN.1/DER input stream parser needs more work
  • java - classes_sound - Sun Java HsbParser.getSoundBank Stack Buffer Overflow Vulnerability
  • java - classes_swing - Numerous static security flaws in Swing (findbugs)
  • java - classes_swing - Mutable statics in Windows PL&F (findbugs)
  • java - classes_util_i18n - (tz) TimeZone.getTimeZone allows probing local filesystem
  • java - imageio - DoS from parsing BMPs with UNC ICC links
  • java - imageio - JPEG Image Writer quantization problem
  • java - imageio - ImageI/O JPEG is vulnerable to Heap Overflow
  • java - install - java update malfunctioning
  • java_deployment - deployment_toolkit - Deployment Toolkit plugin "launch" method vulnerable to exploits
  • javawebstart - general - arbitary code execution using java web start
  • javawebstart - other - REGRESSION:have problem to run JNLP app and applets with signed Jar files
Other bug fixes are listed in the following table.
  • hotspot - runtime_system - Update hotspot windows os_win32 for windows 2008 R2
  • java - classes_2d - RFE: Provide a way to control the printing dpi resolution from MSIE browser print. See also 6801859
  • java - classes_awt - pageDialog throws NPE from applet
  • java - classes_awt - Security warning may change Z-order of top-level
  • java - classes_lang - Windows Server 2008 R2 system recognition
  • java - classes_security - Add GlobalSign R3 Root certificate to the JDK
  • java - classes_security - Add SECOM Root CA 2 to JDK
  • java - classes_util_i18n - (tz) Support tzdata2009m
  • java - classes_util_logging - deadlock due to synchronized demandLogger() code that locks ServerLogManager
  • jaxp - parse - com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderImpl failing to parse xml document
Versienummer:6.0 update 17
Releasestatus:Final
Besturingssystemen:Linux AMD64, Linux x86, Linux, Solaris, Windows Server 2008, Windows Vista x64, Windows Vista, Windows Server 2003 x64, Windows XP x64, Windows Server 2003, Windows XP, Windows 2000, Windows 7
Website:Sun
Download:http://java.sun.com/javase/downloads/index.jsp
Licentietype:Voorwaarden (GNU/BSD/etc.)

Reacties (16)

Jemig wat een grote lijst security issues. Vond het bij de laatste Firefox al veel security issues.
dat is alleen maar een goed teken ;)
als ze niet gevonden worden, dan worden ze wel gebruikt door script kiddies (hackers is een te groot woord, voor wat in feiten script kiddies zijn)
.....omdat volgens de waarschuwingsdienst van de Nederlandse overheid de vorige versie van het programma zo lek was dat niet kan worden volstaan met een update maar zelfs eerst de oude versie moe worden verwijderd.
Er wordt momenteel hard gewerkt om JDK 7 klaar te krijgen. De meeste van die security issues zullen dus opgemerkt zijn tijdens de ontwikkeling ervan en de patches ervoor zijn dan meteen ook op eerdere Java versies toegepast.
JDK 7 Preview Release, Milestone 4 is ook reed te downloaden;

enkel de JRE van 7, of het volledige SDK pakket
Da's alleen voor 32 bits Windows (lijkt het, staat nergens duidelijk), deze link kan je gebruiken voor alle versies:

https://cds.sun.com/is-bi...oth-JPR@CDS-CDS_Developer

[Reactie gewijzigd door grizzlybeer op 5 november 2009 22:32]

Waarom wordt er een 5.0 en een 6.0 versie uitgebracht.

Zit daar verschil in voor de user.?
5.0 voor bedrijven die nog niet over zijn naar 6 (compatability-issues met bestaande systemen?), maar toch veilig willen zijn I guess :)
Er zijn nog zat bedrijven die draaien op 5 (aangezien 6 niet eens zo oud is). Die zullen misschien wel willen upgraden naar 6, maar die moeten tijd en (veel) geld vrijmaken om dit proces te starten en te testen en dergelijke.
Java 5.0 is vanaf October 30, 2009 EOSL en bedrijven kunnen nog support krijgen tot June, 2019
Als je het via de interne update functie, of handmatig de nieuwe over de oude installeert, geeft Secunia PSI nog steeds 1 lekke java exe aan, met het advies om het programma te verwijderen. Als je java eerst uninstalled en dan update 17 installed is wel alles goed.(Heb verder niet restjes verwijder/register gecleaned, gewoon programma verwijderd in control panel.)
Secunia PSI heeft wel vaker last van dat soort dingen...
Als je voor jezelf maar weet dat je de laatste versie hebt, dan lijkt het me geen probleem.
6u16 is nooit via automatische update uitgekomen volgens mij, hoewel die wel beschikbaar is geweest via java.sun.com. Beetje vreemd dat men gelijk naar 6u17 is gegaan en dat die ook direct werd vrijgegeven via automatische update.

Wat ook opvalt is dat nu ook oude (1.6) versies verwijderd worden en niet meer achterblijven op de pc (althans, bij configuratiescherm - software).
6u16 bevatte alleen een nieuwere timezone file en was slechts voor een kleine groep gebruikers interessant. Vandaar dat ie niet via de automatische update functie beschikbaar werd gesteld.
Dat laatste is sinds 6u13 het geval. Hij installeert nu keurig zoals het hoort in program files\java\jre6 ipv program files\java\jre6u7, jre6u8, jre6u9 etc.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True