1607523

Oracle schließt 30 Java-Lücken

17.10.2012 | 13:17 Uhr |

Oracle hat turnusmäßig neue Java-Versionen bereit gestellt. In Java 7 Update 9 sowie in Java 6 Update 37 hat der Hersteller 30 Sicherheitslücken beseitigt, von denen sich die meisten eignen, um Code einzuschleusen.

Nach dem außerplanmäßigen Java-Update Ende August hat Oracle am 16. Oktober erneut Updates für Java 7 und Java 6 bereit gestellt. Der Termin entspricht dem planmäßigen, viermonatlichen Turnus. Damit beseitigt der Hersteller etliche der Lücken, die beim Notfall-Update offen geblieben waren – jedoch nicht alle.

Das Risikopotenzial der behobenen Schwachstellen gibt Oracle mit dem CVSS-Score an (Common Vulnerability Scoring Standard). Der Höchstwert beträgt 10.0. Diesen erreichen 11 der 30 in Java 7 Update 9 (Java 1.7.0_09, 7u9) beseitigten Schwachstellen, zehn davon betreffen auch das Java Plug-in JRE (Java Runtime Environment) für Web-Browser. Die Lücken können es einem Angreifer ermöglichen ohne Anmeldung Code über ein Netzwerk einzuschleusen und auszuführen.

Doch Oracle hat nicht alle kritischen Schwachstellen beseitigt, die bereits an den Hersteller gemeldet wurden. Adam Gowdiak, Gründer und CEO der polnischen Sicherheitsfirma Security Explorations, hatte nach dem August-Update einen neuen Weg gefunden, um mit eingeschleustem Code aus der Java-Sandbox auszubrechen. Diese Lücke hat er an Oracle gemeldet, sie besteht jedoch auch noch in der neuesten Java-Version.

Gowdiak gibt an , er habe auf Nachfrage bei Oracle die Antwort erhalten, seine Meldung sei in einer Phase eingegangen, als Oracle bereits die für Oktober geplanten Updates ausgiebigen Tests unterzogen habe. Eine Prüfung der Möglichkeiten habe ergeben, dass es zu spät gewesen sei, um diese Schwachstelle noch zu beheben. Sie würde nunmehr mit den für den 13. Februar 2013 geplanten, turnusmäßigen Updates beseitigt.

Dies bedeutet letztlich, dass Java auch in der neuesten Version ein potenzielles Sicherheitsrisiko bleibt. Anwender sollten sorgfältig abwägen, ob sie das Java Plug-in JRE wirklich benötigen und es andernfalls deinstallieren. Ist Java für bestimmte Anwendungen erforderlich, kann ein zweiter Browser, in dem Java aktiviert ist, die Lösung sein.

Oracle stellt Java 7 Update 9 auch für Mac OS X ab Version 10.7.3 bereit. Für ältere Mac-Systeme hat Apple praktisch zeitgleich Updates für Java 6 veröffentlicht, die dem Stand der neuesten Oracle-Version Java 6 Update 37 entsprechen.

0 Kommentare zu diesem Artikel
1607523