Java-Update

Oracle schließt 40 Java-Lücken

Mit dem für heute Abend angekündigten Sicherheits-Update für Java will Oracle insgesamt 40 Schwachstellen beseitigen. Davon sind 37 Lücken geeignet, um Code einzuschleusen.

Oracle schließt 40 Java-Lücken

© Hersteller/Archiv

Oracle schließt 40 Java-Lücken

Das Java Plug-in für Web-Browser (JRE) ist und bleibt eines der wichtigsten Einfallstore für Malware. Oracle hat in diesem Jahr bereits mehrfach außer der Reihe Sicherheits-Updates für das JRE (Java Runtime Environment) bereit gestellt. Heute Abend ist ein regulärer, also lange geplanter Termin für Java-Updates. In Zukunft will Oracle vier statt wie bislang drei reguläre Updates im Jahr veröffentlichen.

Das für heute angekündigte "Critical Patch Update"soll 40 Lücken schließen, von denen laut Oracle 37 über ein Netzwerk und ohne Benutzeranmeldung ausnutzbar sind. Der höchste vergebene CVSS Score ist 10.0, das ist der höchstmögliche Wert in diesem Bewertungsschema für Risiken.

Betroffen sind nach Angaben Oracles die bislang aktuellen Versionen der letzten drei Java-Generationen (Java 7u21, 6u45, 5u45) sowie JavaFX. Für Java 5 gibt es längst keine öffentlich verfügbaren Updates mehr. Auch für Java 6 hatte Oracle bereits länger angekündigt keine Aktualisierungen mehr zu liefern, ist jedoch mehrfach davon abgewichen. So bleibt abzuwarten, ob es auch heute wieder ein allgemein verfügbares Update geben wird oder nur für zahlenden Kunden (Java for Business).

Bislang folgt Java einem eigenen, viermonatlichen Update-Turnus, während Oracles andere Software-Produkte alle drei Monate aktualisiert werden. Ab Oktober soll Java dem gleichen Turnus wie die übrigen Produkte folgen, also vier reguläre Updates pro Jahr erhalten. Sicherheits-Updates außer der Reihe wird es bei Bedarf weiterhin geben.

Oracle hat in den letzten Monaten mehrere grundlegende Sicherheitsmaßnahmen in Java implementiert. So gelten nun strengere Regeln für unsignierte Applets, signierte Applets erhalten nicht mehr automatisch höhere Berechtigungen. Mit "Server JRE" sollen die Java-Implementierungen für Client-PCs und und Server getrennt werden, womit Oracle mit Java 7 Update 21 bereits begonnen hat. Code, der für die Java-Nutzung auf dem Server nicht erforderlich ist, soll aus Server JRE entfernt werden. Damit will Oracle die Angriffsfläche reduzieren.

Mehr zum Thema

Neue Java-Exploits und kein Ende in Sicht.
Angriffsbaukästen

Java und dessen Browser-Plugin JRE bleiben das bevorzugte Angriffsziel der Online-Kriminalität. Regelmäßig hält neuer Exploit-Code für weitere…
Oracle hat ein Update für Java 7 veröffentlicht. Patch 11 behebt eine kritische Sicherheitslücke.
Oracle reagiert

Oracle hat am Sonntag ein Sicherheits-Update für Java 7 veröffentlicht. Es beseitigt eine Schwachstelle im Browser-Plugin, die bereits für breit…
Browser & Plugins als Sicherheitsrisiko: Wir geben Tipps für sicheres Surfen.
Flash, Java & Co.

Browser und Plugins sind das Hauptrisiko für die Sicherheit im Internet. Wir zeigen, wie Sie mit Tools und Einstellungen Viren trotzen und den Schutz…
Microsoft, Logo, Hardwarehersteller
Update-Dienstag

Beim Patch Day am Dienstag nach Pfingsten will Microsoft sieben Security Bulletins veröffentlichen, die Sicherheitslücken in Windows, im Internet…
Symbolbild: Multimedia satt
Deaktivieren, Click to Play & Co.

Mit uns bekommen Sie Flash und Java für Firefox, Chrome & Co. sicher in den Griff. Wir zeigen Ihnen das Deaktivieren, das Feature Click to Play und…