Java-Update

Oracle schließt 40 Java-Lücken

Mit dem für heute Abend angekündigten Sicherheits-Update für Java will Oracle insgesamt 40 Schwachstellen beseitigen. Davon sind 37 Lücken geeignet, um Code einzuschleusen.

© Hersteller/Archiv

Oracle schließt 40 Java-Lücken

Das Java Plug-in für Web-Browser (JRE) ist und bleibt eines der wichtigsten Einfallstore für Malware. Oracle hat in diesem Jahr bereits mehrfach außer der Reihe Sicherheits-Updates für das JRE (Java Runtime Environment) bereit gestellt. Heute Abend ist ein regulärer, also lange geplanter Termin für Java-Updates. In Zukunft will Oracle vier statt wie bislang drei reguläre Updates im Jahr veröffentlichen.

Das für heute angekündigte "Critical Patch Update"soll 40 Lücken schließen, von denen laut Oracle 37 über ein Netzwerk und ohne Benutzeranmeldung ausnutzbar sind. Der höchste vergebene CVSS Score ist 10.0, das ist der höchstmögliche Wert in diesem Bewertungsschema für Risiken.

Betroffen sind nach Angaben Oracles die bislang aktuellen Versionen der letzten drei Java-Generationen (Java 7u21, 6u45, 5u45) sowie JavaFX. Für Java 5 gibt es längst keine öffentlich verfügbaren Updates mehr. Auch für Java 6 hatte Oracle bereits länger angekündigt keine Aktualisierungen mehr zu liefern, ist jedoch mehrfach davon abgewichen. So bleibt abzuwarten, ob es auch heute wieder ein allgemein verfügbares Update geben wird oder nur für zahlenden Kunden (Java for Business).

Bislang folgt Java einem eigenen, viermonatlichen Update-Turnus, während Oracles andere Software-Produkte alle drei Monate aktualisiert werden. Ab Oktober soll Java dem gleichen Turnus wie die übrigen Produkte folgen, also vier reguläre Updates pro Jahr erhalten. Sicherheits-Updates außer der Reihe wird es bei Bedarf weiterhin geben.

Oracle hat in den letzten Monaten mehrere grundlegende Sicherheitsmaßnahmen in Java implementiert. So gelten nun strengere Regeln für unsignierte Applets, signierte Applets erhalten nicht mehr automatisch höhere Berechtigungen. Mit "Server JRE" sollen die Java-Implementierungen für Client-PCs und und Server getrennt werden, womit Oracle mit Java 7 Update 21 bereits begonnen hat. Code, der für die Java-Nutzung auf dem Server nicht erforderlich ist, soll aus Server JRE entfernt werden. Damit will Oracle die Angriffsfläche reduzieren.

Mehr zum Thema

Oracle reagiert

Oracle hat am Sonntag ein Sicherheits-Update für Java 7 veröffentlicht. Es beseitigt eine Schwachstelle im Browser-Plugin, die bereits für breit…
Java-Update

Oracle hat Java 7 Update 40 bereit gestellt. Damit werden zwar keine Sicherheitslücken gestopft, jedoch einige neue Sicherheitsfunktionen…
Update-Dienstag

Beim Patch Day am Dienstag nach Pfingsten will Microsoft sieben Security Bulletins veröffentlichen, die Sicherheitslücken in Windows, im Internet…
Critical Patch Update

Der Software-Hersteller Oracle hat seine vierteljährlich erscheinenden Sicherheits-Updates veröffentlicht. Über die gesamte Produktpalette werden…
Lücken werden ausgenutzt

Oracle stopft 193 Sicherheitslücken. Darunter sind Lücken in Java, die bereits ausgenutzt werden. Aktualisieren Sie gegebenenfalls jetzt!