Categories: SicherheitSoftware

Oracle schließt Zero-Day-Lücke in Java 7

Oracle hat ein außerplanmäßiges Update für Java SE veröffentlicht. Es stopft insgesamt vier Löcher in JDK und JRE 7 Update 6 und früher sowie JDK und JRE 6 Update 34 und früher. Darunter ist eine kürzlich gemeldete Zero-Day-Lücke, die Hacker bereits aktiv ausnutzen.

Zuvor war bekannt geworden, dass Oracle angeblich schon seit April von den Schwachstellen wusste. Das polnische Start-up Security Explorations, das Oracle in seiner Sicherheitsmeldung als Entdecker der Lücken nennt, hat den Softwareanbieter nach eigenen Angaben schon vor Monaten über insgesamt 31 Anfälligkeiten informiert. Oracle habe im Juni bei seinem letzten regulären Patchday aber nur vier beseitigt. Am 23. August habe das Unternehmen mitgeteilt, es werde mindestens 19 weitere Löcher mit dem nächsten geplanten Patchday im Oktober stopfen.

Im Gespräch mit The Register sagte Adam Gowdiak, Gründer und CEO von Security Explorations: „Wir haben erwartet, dass die gefährlichsten Lücken mit dem Juni-Patchday geschlossen würden. Das ist aber nicht passiert und Oracle hat viele Probleme nicht beseitigt und will sie erst beim nächsten Patchday angehen.“ Oracle solle für Zero-Day-Lücken, die die Sicherheit der Java-Nutzer gefährdeten, außerplanmäßige Updates in Betracht ziehen, ergänzte Gowdiak.

Drei der vier mit dem jetzt bereitgestellten Patch behobenen Fehler stecken in der Java-Komponente Beans. Sie lassen sich durch nicht vertrauenswürdige Java-Web-Start-Applikationen sowie Java-Applets ausnutzen. Das von ihnen ausgehende Risiko stuft Oracle als „kritisch“ ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit 10.0 bewertet.

Die vierte Schwachstelle lässt sich Oracle zufolge nicht direkt ausnutzen. Sie könne aber verwendet werden, um die Folgen anderer Lücken, die sich direkt missbrauchen lassen, zu verschlimmern.

Die Angriffe auf die Java-Lücken hatten in den vergangenen Tagen deutlich zugenommen. Symantec meldete beispielsweise Attacken von Hackern, die 2011 für Aktionen gegen Chemiekonzerne verantwortlich waren. Seculet wiederum registrierte einen Anstieg der Infektionen durch das Exploit-Kit Blackhole. „Eine ungepatchte Zero-Day-Lücke in einem Exploit Kit ist der Albtraum für jeden IT-Sicherheitsmanager. Normalerweise hat ein gutes Kit wie Blackhole eine Erfolgsrate von etwa 10 Prozent.“ Mit einer neuen Version, die Exploits für die Java-Lücke enthalte, habe sich die Rate auf 25 Prozent erhöht.

Windows-Nutzer erhalten die neue Java-Version über die automatische Updatefunktion. Manuell lässt sich das Update auf die neuen Versionen ebenfalls durchführen:

  • Java Runtime Environment 7 Update 7
  • Java Runtime Environment 6 Update 35
  • [mit Material von Rachel King, ZDNet.com, und Tom Brewster, TechWeekEurope]

    Stefan Beiersmann

    Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

    Recent Posts

    Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

    Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

    3 Tagen ago

    HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

    Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

    3 Tagen ago

    1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

    Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

    3 Tagen ago

    Google schließt schwerwiegende Sicherheitslücken in Chrome 131

    Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

    3 Tagen ago

    Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

    Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

    4 Tagen ago

    Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

    Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

    5 Tagen ago