Oracle schließt 27 Sicherheitslücken in Java

Oracle hat ein Sicherheitsupdate für seine Java Standard Edition 6 (Java SE) und Java for Business veröffentlicht, mit dem der Konzern insgesamt 27 Sicherheitslücken schließt. Zudem verbessert die überarbeitete Version nach Unternehmensangaben die Stabilität der Software und behebt kleinere, nicht sicherheitsrelevante Fehler.

Die Schwachstellen in der Java-Laufzeitumgebung (JRE) sowie den Komponenten ImageIO, Java 2D und HotSpot Server können Oracle zufolge zu einem Pufferüberlauf führen und Angreifern ermöglichen, die Kontrolle über einen Rechner zu übernehmen. Die Codelücken lassen sich über ein Netzwerk ausnutzen, ohne dass nach einem Benutzernamen oder Passwort gefragt wird.

Von den Sicherheitslücken betroffen sind Java 6 Update 18 für Windows, Solaris und Linux, Java 5 Update 23 sowie das Java Software Development Kit in den Versionen 1.3.1_27 und 1.4.2_25. Oracle rät allen Anwendern, so schnell wie möglich auf die neuesten Versionen von Java SE 6 und Java for Business umzusteigen.

Java 6 Update 19 steht ab sofort für Windows, Solaris und Linux zum Download bereit. Zusätzlich zu den Sicherheitsupdates haben die Entwickler neue Sicherheitszertifikate integriert und ungültige entfernt. Darüber hinaus beinhaltet die aktualisierte Version einen vorläufigen Patch für ein Sicherheitsleck, das einen sogenannten Man-in-the-Middle-Angriff ermöglicht.

Oracle bezeichnet die Patch-Sammlung als „Critical Patch Update Advisory – March 2010“. Die Monatsangabe lässt vermuten, dass nach der Übernahme von Sun in Zukunft auch Java-Patches einem festen Zeitplan folgen. Für seine anderen Produkte gibt Oracle einen dreimonatlichen Patch-Zyklus vor.