Oracle schließt kritische Java-Lücke

Oracle hat außer der Reihe eine Sicherheitslücke in Java SE 6, 7 und 8 geschlossen. Ein Angreifer könnte unter Umständen Schadcode einschleusen, ausführen und so die vollständige Kontrolle über ein betroffenes System übernehmen. Im 10 Punkte umfassenden Common Vulnerability Scoring System (CVSS) ist die Schwachstelle allerdings nur mit 7,6 Punkten bewertet, da es laut Oracle sehr aufwendig ist, sie auszunutzen.

Der Fehler steckt in den Versionen JDK und JRE 6 Update 111, JDK und JRE 7 Update 95 sowie JDK und JRE 8 Update 71 und 72. Er lässt sich aber nur während der Installation von Java SE ausnutzen. Vorher muss ein Hacker sein Opfer außerdem dazu verleiten, eine schädliche Website zu besuchen und speziell präparierte Dateien herunterzuladen.

Oracle weist auch darauf hin, dass sich die Anfälligkeit aus der Ferne und ohne Authentifizierung ausnutzen lässt. Betroffen ist ausschließlich Java SE für Windows.

Nutzer, die eine der im Januar veröffentlichten Java-Versionen bereits verwenden, müssen laut Oracles Advisory nichts unternehmen. „Java-Benutzer, die die Critical-Patch-Update-Versionen für Java SE 6, 7 oder 8 vom Januar 2016 nicht installiert haben, müssen ein Upgrade durchführen“, heißt es in den Release Notes für Java SE 8. Das Unternehmen rät zudem, gespeicherte ältere Java-Installer durch die nun fehlerbereinigten Versionen Java SE 6 Update 113, 7 Update 97 und 8 Update 73 zu ersetzen.

Erst vor knapp drei Wochen hatte Oracle insgesamt 248 Sicherheitslöcher in seinen Produkten gestopft. Acht davon steckten in Java SE, wobei für drei die höchste CVSS-Risikobewertung von 10,0 galt. Oracles nächster regulärer Patchday findet am 19. April statt.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de