2175539

Java Plug-in

Java-Update stopft Installer-Lücke

09.02.2016 | 09:05 Uhr |

Oracle hat außerhalb des normalen Turnus ein Sicherheits-Update für Java 8 bereit gestellt. Es beseitigt eine Sicherheitslücke im Installationsprogramm, die ausgenutzt werden könnte, um den Rechner zu kapern.

Erst im Januar hatte Oracle im Rahmen seiner regelmäßigen Quartals-Updates mehrere Sicherheitslücken in Java geschlossen. Das nächste reguläre Update ist erst Mitte April fällig, doch Oracle hat nun Java 8 Update 73 veröffentlicht. Anlass ist eine Sicherheitslücke im Setup-Programm, durch deren Ausnutzung ein Angreifer die Kontrolle über einen Rechner übernehmen könnte.

Die als CVE-2016-0603 registrierte Schwachstelle soll nach Angaben des Unternehmens schwer ausnutzbar sein. Ein Angreifer müsste ein potenzielles Opfer demnach zunächst auf eine vorbereitete Web-Seite locken. Sodann müsste er sein Opfer zum Download und zur Ausführung eines Programms verleiten, das speziell präparierte Programmbibliotheken (DLLs) im Java-Installationsverzeichnis ablegt. Schließlich müsste das Opfer eine Java-Version vor Java 8 Update 73 installieren.

Deren Installationsroutinen laden bestimmte DLLs aus dem Programm-Verzeichnis ungeprüft, sodass schädlicher Code ausgeführt werden kann. Dieser könnte dem Angreifer die volle Kontrolle über den attackierten Rechner verschaffen. Dieses unsichere Laden von DLLs ist ein Problem, mit dem Microsoft schon seit geraumer Zeit zu kämpfen hat. Bei mehreren Update-Dienstagen des letzten Jahres hatte Microsoft Sicherheits-Updates verteilt, die derartige Schwachstellen in verschiedenen Programmen beseitigt haben.

Das geschilderte Szenario für eine Ausnutzung der Java-Lücke erscheint zwar weit her geholt, die möglichen Folgen sind jedoch so gravierend, dass ein Update außer der Reihe gerechtfertigt ist. Wer bereits das Java-Update aus dem Januar installiert hat, muss das jetzt veröffentlichte Update nicht unbedingt installieren, denn der Fehler steckt nur im Setup-Programm. Heruntergeladene Java-Installer vor Java 8 Update 73 sollten Sie jedoch nicht mehr benutzen, sondern löschen.

Bereits Ende Januar hatte Oracle angekündigt , es werde das Browser-Plug-in JRE (Java Runtime Environment) nicht mehr lange weiterentwickeln. Der Trend gehe zum Browser ohne Plug-ins. Chrome und Microsoft Edge unterstützen das JRE bereits nicht mehr. Mozilla will die Unterstützung für die Plug-in-Schnittstelle NPAPI in Firefox in diesem Jahr ebenfalls auslaufen lassen. Wer Java-Anwendungen entwickelt, sollte deshalb möglichst bald auf Java Web Start umsteigen.

0 Kommentare zu diesem Artikel
2175539