Oracle stopft 14 Löcher in Java SE

Oracle hat 14 Sicherheitslücken in Java SE geschlossen. Das Update steht für Windows, Linux und Solaris zur Verfügung. Nach Unternehmensangaben könnte ein Angreifer die Anfälligkeiten aus der Ferne und ohne Authentifizierung ausnutzen und Schadcode auf betroffenen Rechnern installieren.

Einer Sicherheitswarnung zufolge sind JDK und JRE 7 Update 2 und früher, JDK und JRE 6 Update 30 und früher, JDK und JRE 5.0 Update 33 und früher sowie SDK und JRE 1.4.2_35 und früher betroffen. In JavaFX 2.0.2 und früher steckt die Anfälligkeit ebenfalls.

Das von fünf der 14 Schwachstellen ausgehende Risiko stuft Oracle als „kritisch“ ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit 10.0 bewertet. Sie lassen sich durch nicht vertrauenswürdige Java-Web-Start-Applikationen sowie Webdienste ausnutzen, die Daten an Programmierschnittstellen (API) senden.

„Durch die Bedrohung, die von einem erfolgreichen Angriff ausgeht, rät Oracle dringend, dass Kunden die Fixes so schnell wie möglich anwenden“, heißt es in der Sicherheitswarnung. Unter Windows wird der Patch über die automatische Updatefunktion verteilt. Er lässt sich auch von der Java-Website herunterladen. Die nächsten regulären Patchdays sind für 12. Juni 2012 und 16. Oktober 2012 angekündigt.

Sicherheitsanbieter warnen schon länger vor einer „noch nie da gewesen Welle“ von Java-Exploits. Sie sind unter anderem Bestandteil sogenannter Exploitation Kits – kommerzieller Baukästen für Malware. Java ist unter Windows inzwischen vor Adobe Flash Player und Adobe Reader die am häufigsten angegriffene Desktopsoftware von Drittanbietern.

Downloads:

Java Runtime Environment 6 Update 31

Java Runtime Environment 7 Update 3

Java Runtime Environment 7 Update 3 (64-Bit)