Oracle stopft weitere Löcher in Java und kündigt zusätzlichen Patchday an

Oracle hat wie angekündigt ein weiteres Sicherheitsupdate für Java SE veröffentlicht. Es beseitigt fünf Anfälligkeiten, die, obwohl zu dem Zeitpunkt schon bekannt, in dem Anfang des Monats bereitgestellten Patch nicht enthalten waren. Um schneller auf weitere Bedrohungen reagieren zu können, führt das Unternehmen zudem einen zusätzlichen Patchday im April ein.

Vier der fünf Schwachstellen lassen sich laut einem Blogeintrag von Eric Maurice, Director für Software Assurance bei Oracle, mithilfe von manipulierten Java-Web-Start-Anwendungen und auch speziell präparierten Applets in Browsern ausnutzen. Zwei von ihnen stecken nur in Java 7 Update 13 und nicht den älteren Versionen 5 und 6.

Das Risiko, das von drei Lücken ausgeht, stuft Oracle als kritisch ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit glatten 10,0 Punkten bewertet. Oracle empfiehlt Kunden, die fehlerbereinigten Versionen Java SE 7 Update 15 beziehungsweise 6 Update 41 so schnell wie möglich einzuspielen.

Letzteres kann jedoch nur über die Oracle-Website heruntergeladen werden und nicht über Java.com. Die in Version 6 integrierte Update-Funktion fordert Nutzer ab sofort auf, auf Java SE 7 Update 15 umzusteigen. Den Support für Java 6 hatte Oracle zuvor mehrfach verlängert.

Der nächste reguläre Patchday findet nun am 16. April statt. Ursprünglich wollte Oracle das nächste Sicherheitsupdate erst im Juni herausbringen. Weitere Patches sind für Oktober 2013 und Januar 2014 geplant.

Downloads:

• Java Runtime Environment (JRE) 7 Update 15
• Java Runtime Environment (JRE) 6 Update 41