Categories: SicherheitSoftware

Oracle stopft 13 Löcher in Java SE

Oracle hat an seinem Juni-Patchday ein Update für Java SE bereitgestellt, das insgesamt 13 Sicherheitslücken schließt. Betroffen sind Java für Windows, Linux und Solaris. Ein Angreifer könnte die Schwachstellen aus der Ferne und ohne Authentifizierung ausnutzen, um Schadcode auf betroffenen Rechnern zu installieren.

Das Update steht für JDK und JRE 7 Update 4 oder früher, Version 6 Update 32 oder früher und Version 5.0 Update 35 oder früher zur Verfügung. Auch SDK und JRE 1.4.2_37 oder früher und JavaFX 2.1 oder früher sind einer Sicherheitswarnung zufolge anfällig.

Das Risiko, das von sechs Schwachstellen ausgeht, stuft Oracle als „kritisch“ ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit 10.0 bewertet. Sie lassen sich durch nicht vertrauenswürdige Java-Web-Start-Applikationen sowie Webdienste ausnutzen, die Daten an Programmierschnittstellen senden.

„Aufgrund der Bedrohung, die von einem erfolgreichen Angriff ausgeht, empfiehlt Oracle dringend, dass Kunden die Updates so schnell wie möglich einspielen“, schreibt Oracle in der Sicherheitswarnung. Unter Windows wird der Patch über die automatische Updatefunktion verteilt. Er lässt sich auch von der Java-Website herunterladen. Den nächsten regulären Patchday hat Oracle für den 16. Oktober 2012 angesetzt.

Nur Stunden nach Oracle hat auch Apple ein Java-Update für die Client- und Serverversionen von Mac OS X 10.7 Lion und 10.6 Snow Leopard veröffentlicht. Es schließt elf der von Oracle gemeldeten Lücken. Außerdem führt Apple eine neue Sicherheitsfunktion ein, die seit Mai Safari-Nutzern unter Mac OS zur Verfügung steht. Das Update deaktiviert das Java-Plug-in, wenn es für einen längeren Zeitraum nicht benutzt wurde.

Offenbar hat Apple aus seinen Fehlern gelernt: Bisher hatte es Java-Updates mit einer zeitlichen Verzögerung von teilweise mehreren Wochen ausgeliefert. Im April schloss es beispielsweise eine Lücke, die Oracle schon im Februar beseitigt hatte. In der Zwischenzeit missbrauchten sie Hacker für die Verbreitung des Trojaners Flashback, der mehrere Hunderttausend Rechner weltweit infizierte.

Downloads:

  • Java Runtime Environment 6 Update 33
  • Java Runtime Environment 7 Update 5
  • Java Runtime Environment 7 Update 5 (64-Bit)
  • Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

    ZDNet.de Redaktion

    Recent Posts

    Black Friday: Vorsicht vor schädlichen QR-Codes

    Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

    2 Tagen ago

    Black Friday: Zahl der ominösen Shopping-Websites steigt

    Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

    2 Tagen ago

    SmokeBuster bekämpft SmokeLoader

    Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

    2 Tagen ago

    Taugen Kryptowährungen als Unterstützer der Energiewende?

    Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

    3 Tagen ago

    Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

    Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

    3 Tagen ago

    Ionos führt neue AMD-Prozessoren ein

    Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

    3 Tagen ago