Oracle reagiert

Java-Update 11 schließt kritische Lücke

Oracle hat am Sonntag ein Sicherheits-Update für Java 7 veröffentlicht. Es beseitigt eine Schwachstelle im Browser-Plugin, die bereits für breit angelegte Angriffe im Web ausgenutzt wird.

News
Oracle hat ein Update für Java 7 veröffentlicht. Patch 11 behebt eine kritische Sicherheitslücke.
Oracle hat ein Update für Java 7 veröffentlicht. Patch 11 behebt eine kritische Sicherheitslücke.
© Oracle

In allen bisherigen Versionen der Generation 7 des Java-Plugin für Web-Browser, JRE (Java Runtime Environment), steckt eine kritische Sicherheitslücke. Java 6 und ältere Java-Generationen sind nicht betroffen. Die Lücke kann mit Hilfe unsignierter Java-Applets ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Gängige Angriffsbaukästen wie das Blackhole Exploit Kit enthalten bereits Code zur Ausnutzung dieser Schwachstelle und verbreiten damit Malware.

Oracle hat nun Java 7 Update 11 (7u11, 1.7.0_11) zum Download bereit gestellt. Darin haben die Entwickler zwei Sicherheitslücken geschlossen, denen Oracle den CVSS Score 10.0 zuordnet. Das ist im Common Vulnerability Scoring Standard (CVSS) die höchste Risikostufe. Die für Angriffe ausgenutzte Schwachstelle mit der Bezeichnung "CVE-2013-0422" ist eine der beiden beseitigten Lücken.

Außerdem erhöht Oracle mit Java 7 Update 11 die Standardeinstellung für die Java-Sicherheitsstufe von "mittel" auf "hoch". Dies bewirkt, dass das Java-Plugin beim Benutzer nachfragt, bevor es ein unsigniertes Java Applet ausführt. Unsignierte Applets werden in der Java-Sandbox ausgeführt und haben normalerweise keinen Zugriff auf das System. Die mit Java 7 Update 11 geschlossenen Lücken ermöglichen eine Umgehung dieser Schutzvorkehrung.

Wenn Sie Java aus Sicherheitsgründen deinstalliert oder im Browser abgeschaltet haben, belassen Sie es am besten dabei. Es ist wohl nur eine Frage der Zeit, bis die nächste Java-Sicherheitslücke auftaucht - wie die Entwicklungen seit dem vergangenen Sommer belegen. Wer das Java-Plugin im Browser benötigt, sollte hingegen umgehend zur neuesten Version wechseln.

14.1.2013 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Oracle stellt Java-Update bereit: Es gibt viele gestopfte Sicherheitslücken.

Oracle Patch Day

Oracle will heute wichtiges Java-Update bereit stellen

Heute ist großer Patch Day bei Oracle. Allein in Java will Oracle 42 Lücken schließen.

Oracle schließt 40 Java-Lücken

Java-Update

Oracle schließt 40 Java-Lücken

Mit dem für heute Abend angekündigten Sicherheits-Update für Java will Oracle insgesamt 40 Schwachstellen beseitigen. Davon sind 37 Lücken geeignet,…

Microsoft, Logo, Hardwarehersteller

Update-Dienstag

Microsoft kündigt sieben Security Bulletins an

Beim Patch Day am Dienstag nach Pfingsten will Microsoft sieben Security Bulletins veröffentlichen, die Sicherheitslücken in Windows, im Internet…

Sicherheits-Update bei Oracle

Critical Patch Update

Oracle schließt 20 Sicherheitslücken in Java

Der Software-Hersteller Oracle hat seine vierteljährlich erscheinenden Sicherheits-Updates veröffentlicht. Über die gesamte Produktpalette werden…

Symbolbild für Internet-Sicherheit und Spionage

Lücken werden ausgenutzt

Java, MySQL & Co. - Oracle stopft fast 200…

Oracle stopft 193 Sicherheitslücken. Darunter sind Lücken in Java, die bereits ausgenutzt werden. Aktualisieren Sie gegebenenfalls jetzt!