Sicherheits-Update für Java schließt 17 Lücken

Das Browser-Plugin Java Runtime Environment (JRE) ist in der neuen Version 1.6.0_26 erhältlich, die auch alsJRE 6 Update 26 (6u26) bezeichnet wird. Oracle hat in der neuen Version 17 Sicherheitslücken geschlossen, die überwiegend als kritisch einzustufen sind. Sie können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen.

Oracle verwendet bei seinen Produkten das Bewertungssystem CVSS (Common Vulnerability Scoring System) zur Einstufung von Sicherheitslücken. Die höchste Wertung 10.0 besagt, dass ein Angreifer eine solche Schwachstelle über das Netzwerk ausnutzen kann, um Code einzuschleusen und auszuführen, ohne dass eine Benutzeranmeldung erforderlich wäre. Von den 17 in Java 6 Update 26 beseitigten Lücken  sind neun mit einem CVSS-Score von 10.0 bewertet, weitere drei mit 7.6, was bei gleichen möglichen Folgen lediglich einen komplexeren Angriffsvektor bedeutet.

Die Java-Laufzeitumgebung JRE bringt ein Plug-in für gängige Web-Browser mit und ist inzwischen zur beliebtesten Zielscheibe von Malware-Angriffen im Internet geworden. Die meisten Angriffe zielen allerdings auf Sicherheitslücken in der JRE, die bereits mit JRE 6 Update 19 (März 2010) beseitigt wurden.

Anwender sollten überprüfen, ob und welche JRE-Version sie installiert haben, denn Online-Kriminelle setzen auf die Nachlässigkeit ihrer potenziellen Opfer beim Einspielen von Sicherheits-Updates. Windows-Anwender können die neueste JRE-Version auch über das mitgelieferte Java Update (in der Systemsteuerung) beziehen.

Das als Datenbankhersteller bekannt gewordene Unternehmen Oracle ist durch die Übernahme von Sun Microsystems im April 2009 auch Eigner von Java geworden. Sicherheits-Updates für Java werden inzwischen in einem viermonatlichen Turnus bereit gestellt, bei Bedarf auch außer der Reihe. Der nächste reguläre Termin ist am 18. Oktober.