Java-Update
Oracle schließt 40 Java-Lücken
Mit dem für heute Abend angekündigten Sicherheits-Update für Java will Oracle insgesamt 40 Schwachstellen beseitigen. Davon sind 37 Lücken geeignet, um Code einzuschleusen.
Das Java Plug-in für Web-Browser (JRE) ist und bleibt eines der wichtigsten Einfallstore für Malware. Oracle hat in diesem Jahr bereits mehrfach außer der Reihe Sicherheits-Updates für das JRE (Java Runtime Environment) bereit gestellt. Heute Abend ist ein regulärer, also lange geplanter Termin für Java-Updates. In Zukunft will Oracle vier statt wie bislang drei reguläre Updates im Jahr veröffentlichen.
Das für heute angekündigte "Critical Patch Update"soll 40 Lücken schließen, von denen laut Oracle 37 über ein Netzwerk und ohne Benutzeranmeldung ausnutzbar sind. Der höchste vergebene CVSS Score ist 10.0, das ist der höchstmögliche Wert in diesem Bewertungsschema für Risiken.
Betroffen sind nach Angaben Oracles die bislang aktuellen Versionen der letzten drei Java-Generationen (Java 7u21, 6u45, 5u45) sowie JavaFX. Für Java 5 gibt es längst keine öffentlich verfügbaren Updates mehr. Auch für Java 6 hatte Oracle bereits länger angekündigt keine Aktualisierungen mehr zu liefern, ist jedoch mehrfach davon abgewichen. So bleibt abzuwarten, ob es auch heute wieder ein allgemein verfügbares Update geben wird oder nur für zahlenden Kunden (Java for Business).
Bislang folgt Java einem eigenen, viermonatlichen Update-Turnus, während Oracles andere Software-Produkte alle drei Monate aktualisiert werden. Ab Oktober soll Java dem gleichen Turnus wie die übrigen Produkte folgen, also vier reguläre Updates pro Jahr erhalten. Sicherheits-Updates außer der Reihe wird es bei Bedarf weiterhin geben.
Oracle hat in den letzten Monaten mehrere grundlegende Sicherheitsmaßnahmen in Java implementiert. So gelten nun strengere Regeln für unsignierte Applets, signierte Applets erhalten nicht mehr automatisch höhere Berechtigungen. Mit "Server JRE" sollen die Java-Implementierungen für Client-PCs und und Server getrennt werden, womit Oracle mit Java 7 Update 21 bereits begonnen hat. Code, der für die Java-Nutzung auf dem Server nicht erforderlich ist, soll aus Server JRE entfernt werden. Damit will Oracle die Angriffsfläche reduzieren.
Weiter zur Startseite
