Oracle reagiert

Java-Update 11 schließt kritische Lücke

Oracle hat am Sonntag ein Sicherheits-Update für Java 7 veröffentlicht. Es beseitigt eine Schwachstelle im Browser-Plugin, die bereits für breit angelegte Angriffe im Web ausgenutzt wird.

Oracle hat ein Update für Java 7 veröffentlicht. Patch 11 behebt eine kritische Sicherheitslücke.

© Oracle

Oracle hat ein Update für Java 7 veröffentlicht. Patch 11 behebt eine kritische Sicherheitslücke.

In allen bisherigen Versionen der Generation 7 des Java-Plugin für Web-Browser, JRE (Java Runtime Environment), steckt eine kritische Sicherheitslücke. Java 6 und ältere Java-Generationen sind nicht betroffen. Die Lücke kann mit Hilfe unsignierter Java-Applets ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Gängige Angriffsbaukästen wie das Blackhole Exploit Kit enthalten bereits Code zur Ausnutzung dieser Schwachstelle und verbreiten damit Malware.

Oracle hat nun Java 7 Update 11 (7u11, 1.7.0_11) zum Download bereit gestellt. Darin haben die Entwickler zwei Sicherheitslücken geschlossen, denen Oracle den CVSS Score 10.0 zuordnet. Das ist im Common Vulnerability Scoring Standard (CVSS) die höchste Risikostufe. Die für Angriffe ausgenutzte Schwachstelle mit der Bezeichnung "CVE-2013-0422" ist eine der beiden beseitigten Lücken.

Außerdem erhöht Oracle mit Java 7 Update 11 die Standardeinstellung für die Java-Sicherheitsstufe von "mittel" auf "hoch". Dies bewirkt, dass das Java-Plugin beim Benutzer nachfragt, bevor es ein unsigniertes Java Applet ausführt. Unsignierte Applets werden in der Java-Sandbox ausgeführt und haben normalerweise keinen Zugriff auf das System. Die mit Java 7 Update 11 geschlossenen Lücken ermöglichen eine Umgehung dieser Schutzvorkehrung.

Wenn Sie Java aus Sicherheitsgründen deinstalliert oder im Browser abgeschaltet haben, belassen Sie es am besten dabei. Es ist wohl nur eine Frage der Zeit, bis die nächste Java-Sicherheitslücke auftaucht - wie die Entwicklungen seit dem vergangenen Sommer belegen. Wer das Java-Plugin im Browser benötigt, sollte hingegen umgehend zur neuesten Version wechseln.

Mehr zum Thema

Neue Java-Exploits und kein Ende in Sicht.
Angriffsbaukästen

Java und dessen Browser-Plugin JRE bleiben das bevorzugte Angriffsziel der Online-Kriminalität. Regelmäßig hält neuer Exploit-Code für weitere…
Oracle schließt 40 Java-Lücken
Java-Update

Mit dem für heute Abend angekündigten Sicherheits-Update für Java will Oracle insgesamt 40 Schwachstellen beseitigen. Davon sind 37 Lücken…
Browser & Plugins als Sicherheitsrisiko: Wir geben Tipps für sicheres Surfen.
Flash, Java & Co.

Browser und Plugins sind das Hauptrisiko für die Sicherheit im Internet. Wir zeigen, wie Sie mit Tools und Einstellungen Viren trotzen und den Schutz…
Microsoft, Logo, Hardwarehersteller
Update-Dienstag

Beim Patch Day am Dienstag nach Pfingsten will Microsoft sieben Security Bulletins veröffentlichen, die Sicherheitslücken in Windows, im Internet…
Symbolbild: Multimedia satt
Deaktivieren, Click to Play & Co.

Mit uns bekommen Sie Flash und Java für Firefox, Chrome & Co. sicher in den Griff. Wir zeigen Ihnen das Deaktivieren, das Feature Click to Play und…