In allen bisherigen Versionen der Generation 7 des Java-Plugin für Web-Browser, JRE (Java Runtime Environment), steckt eine kritische Sicherheitslücke. Java 6 und ältere Java-Generationen sind nicht betroffen. Die Lücke kann mit Hilfe unsignierter Java-Applets ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Gängige Angriffsbaukästen wie das Blackhole Exploit Kit enthalten bereits Code zur Ausnutzung dieser Schwachstelle und verbreiten damit Malware.

Oracle hat nun Java 7 Update 11 (7u11, 1.7.0_11) zum Download bereit gestellt. Darin haben die Entwickler zwei Sicherheitslücken geschlossen, denen Oracle den CVSS Score 10.0 zuordnet. Das ist im Common Vulnerability Scoring Standard (CVSS) die höchste Risikostufe. Die für Angriffe ausgenutzte Schwachstelle mit der Bezeichnung "CVE-2013-0422" ist eine der beiden beseitigten Lücken.

Außerdem erhöht Oracle mit Java 7 Update 11 die Standardeinstellung für die Java-Sicherheitsstufe von "mittel" auf "hoch". Dies bewirkt, dass das Java-Plugin beim Benutzer nachfragt, bevor es ein unsigniertes Java Applet ausführt. Unsignierte Applets werden in der Java-Sandbox ausgeführt und haben normalerweise keinen Zugriff auf das System. Die mit Java 7 Update 11 geschlossenen Lücken ermöglichen eine Umgehung dieser Schutzvorkehrung.

Wenn Sie Java aus Sicherheitsgründen deinstalliert oder im Browser abgeschaltet haben, belassen Sie es am besten dabei. Es ist wohl nur eine Frage der Zeit, bis die nächste Java-Sicherheitslücke auftaucht - wie die Entwicklungen seit dem vergangenen Sommer belegen. Wer das Java-Plugin im Browser benötigt, sollte hingegen umgehend zur neuesten Version wechseln.