Java Patch Day

Sicherheits-Update für Java schließt 17 Lücken

Mittwoch den 08.06.2011 um 14:09 Uhr

von Frank Ziemann

Oracle hat turnusmäßig ein Sicherheits-Update für Java bereit gestellt. Java 6 Update 26 (6u26) beseitigt insgesamt 17 Sicherheitslücken, die auch auch das Browser-Plugin JRE betreffen.
Sicherheits-Update für Java
Vergrößern Sicherheits-Update für Java

Das Browser-Plugin Java Runtime Environment (JRE) ist in der neuen Version 1.6.0_26 erhältlich, die auch als JRE 6 Update 26 (6u26) bezeichnet wird. Oracle hat in der neuen Version 17 Sicherheitslücken geschlossen, die überwiegend als kritisch einzustufen sind. Sie können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen.

Oracle verwendet bei seinen Produkten das Bewertungssystem CVSS (Common Vulnerability Scoring System) zur Einstufung von Sicherheitslücken. Die höchste Wertung 10.0 besagt, dass ein Angreifer eine solche Schwachstelle über das Netzwerk ausnutzen kann, um Code einzuschleusen und auszuführen, ohne dass eine Benutzeranmeldung erforderlich wäre. Von den 17 in Java 6 Update 26 beseitigten Lücken   sind neun mit einem CVSS-Score von 10.0 bewertet, weitere drei mit 7.6, was bei gleichen möglichen Folgen lediglich einen komplexeren Angriffsvektor bedeutet.

Die Java-Laufzeitumgebung JRE bringt ein Plug-in für gängige Web-Browser mit und ist inzwischen zur beliebtesten Zielscheibe von Malware-Angriffen im Internet geworden. Die meisten Angriffe zielen allerdings auf Sicherheitslücken in der JRE, die bereits mit JRE 6 Update 19 (März 2010) beseitigt wurden.

nach Java Updates suchen
Vergrößern nach Java Updates suchen

Anwender sollten überprüfen, ob und welche JRE-Version sie installiert haben, denn Online-Kriminelle setzen auf die Nachlässigkeit ihrer potenziellen Opfer beim Einspielen von Sicherheits-Updates. Windows-Anwender können die neueste JRE-Version auch über das mitgelieferte Java Update (in der Systemsteuerung) beziehen.

Das als Datenbankhersteller bekannt gewordene Unternehmen Oracle ist durch die Übernahme von Sun Microsystems im April 2009 auch Eigner von Java geworden. Sicherheits-Updates für Java werden inzwischen in einem viermonatlichen Turnus bereit gestellt, bei Bedarf auch außer der Reihe. Der nächste reguläre Termin ist am 18. Oktober.

Mittwoch den 08.06.2011 um 14:09 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
858229