Java-Patch

Sicherheits-Update schließt Java-Lücken

Oracle hat neue Versionen der Laufzeitumgebung für Java-Applets bereit gestellt, um etliche, zum Teil als kritisch eingestufte Sicherheitslücken zu beseitigen. Betroffen sind sowohl Java 6 als auch Java 7 sowie die Anwendungsplattform JavaFX 2.0.

Die meisten Anwender kennen Java als Browser Plug-in, das als JRE (Java Runtime Environment, Laufzeitumgebung) bekannt ist. Java ist derzeit in zwei Versionszweigen erhältlich: die ältere Version Java 6 wird sukzessive durch das im Sommer 2011 erschienene Java 7 ersetzt, jedoch weiter mit Sicherheits-Updates versorgt. Das neueste Update für Java 6 trägt die Versionsnummer 1.6.0_31 (Java 6 Update 31, kurz: 6u31), für Java 7 ist in dieser Woche das dritte Update erschienen (Java 7u3, 1.7.0_03).

In beiden neuen Versionen hat Oracle 14 Sicherheitslücken geschlossen, von denen allein fünf den maximalen CVSS-Score (Common Vulnerability Scoring System) von 10.0 erreichen. Dies bedeutet, dass ein Angreifer über das Netzwerk ohne Benutzeranmeldung relativ einfach Code einschleusen und ausführen kann.

Die meisten Schwachstellen betreffen außerdem das Entwicklerpaket JDK (Java Development Kit) sowie die Anwendungsplattform JavaFX 2.0, die in der aktualisierten Version 2.0.3 erhältlich ist. Oracle rät dazu die Updates für JRE wie für JavaFX möglichst umgehend einzuspielen. Sicherheitslücken in älteren Java-Installationen gehören nach wie vor zu den beliebtesten Angriffsvektoren zum Einschleusen Trojanischer Pferde über präparierte Web-Seiten.