Oracle reagiert

Java-Update 11 schließt kritische Lücke

Oracle hat am Sonntag ein Sicherheits-Update für Java 7 veröffentlicht. Es beseitigt eine Schwachstelle im Browser-Plugin, die bereits für breit angelegte Angriffe im Web ausgenutzt wird.

© Oracle

Oracle hat ein Update für Java 7 veröffentlicht. Patch 11 behebt eine kritische Sicherheitslücke.

In allen bisherigen Versionen der Generation 7 des Java-Plugin für Web-Browser, JRE (Java Runtime Environment), steckt eine kritische Sicherheitslücke. Java 6 und ältere Java-Generationen sind nicht betroffen. Die Lücke kann mit Hilfe unsignierter Java-Applets ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Gängige Angriffsbaukästen wie das Blackhole Exploit Kit enthalten bereits Code zur Ausnutzung dieser Schwachstelle und verbreiten damit Malware.

Oracle hat nun Java 7 Update 11 (7u11, 1.7.0_11) zum Download bereit gestellt. Darin haben die Entwickler zwei Sicherheitslücken geschlossen, denen Oracle den CVSS Score 10.0 zuordnet. Das ist im Common Vulnerability Scoring Standard (CVSS) die höchste Risikostufe. Die für Angriffe ausgenutzte Schwachstelle mit der Bezeichnung "CVE-2013-0422" ist eine der beiden beseitigten Lücken.

Außerdem erhöht Oracle mit Java 7 Update 11 die Standardeinstellung für die Java-Sicherheitsstufe von "mittel" auf "hoch". Dies bewirkt, dass das Java-Plugin beim Benutzer nachfragt, bevor es ein unsigniertes Java Applet ausführt. Unsignierte Applets werden in der Java-Sandbox ausgeführt und haben normalerweise keinen Zugriff auf das System. Die mit Java 7 Update 11 geschlossenen Lücken ermöglichen eine Umgehung dieser Schutzvorkehrung.

Wenn Sie Java aus Sicherheitsgründen deinstalliert oder im Browser abgeschaltet haben, belassen Sie es am besten dabei. Es ist wohl nur eine Frage der Zeit, bis die nächste Java-Sicherheitslücke auftaucht - wie die Entwicklungen seit dem vergangenen Sommer belegen. Wer das Java-Plugin im Browser benötigt, sollte hingegen umgehend zur neuesten Version wechseln.

Mehr zum Thema

Oracle Patch Day

Heute ist großer Patch Day bei Oracle. Allein in Java will Oracle 42 Lücken schließen.
Java-Update

Mit dem für heute Abend angekündigten Sicherheits-Update für Java will Oracle insgesamt 40 Schwachstellen beseitigen. Davon sind 37 Lücken geeignet,…
Update-Dienstag

Beim Patch Day am Dienstag nach Pfingsten will Microsoft sieben Security Bulletins veröffentlichen, die Sicherheitslücken in Windows, im Internet…
Critical Patch Update

Der Software-Hersteller Oracle hat seine vierteljährlich erscheinenden Sicherheits-Updates veröffentlicht. Über die gesamte Produktpalette werden…
Lücken werden ausgenutzt

Oracle stopft 193 Sicherheitslücken. Darunter sind Lücken in Java, die bereits ausgenutzt werden. Aktualisieren Sie gegebenenfalls jetzt!