2185642

Notfall-Update für Java

24.03.2016 | 15:41 Uhr |

Oracle hat Java 8 Update 77 bereit gestellt, um eine kritische Sicherheitslücke im Browser-Plugin JRE zu schließen. Laut Oracle sind Details zur dieser Schwachstelle öffentlich bekannt.

Das nächste reguläre Update für Java ist an sich erst am 19. April fällig. Doch Oracle hat seit dem letzten turnusmäßigen Update im Januar nun schon das zweite Interims-Update bereit gestellt. Java 8 Update 77 (8u77) beseitigt eine als kritisch eingestufte Sicherheitslücke. Sie betrifft laut Oracle vor allem Nutzer, die mit einem Browser und dem Plug-in JRE (Java Runtime Environment) im Internet surfen.

Oracle führt die Schwachstelle unter der Bezeichnung CVE-2016-0636 und gibt den CVSS-Score mit 9.3 an. Das bedeutet, die Lücke ist über ein Netzwerk (hier: Internet) ohne Benutzeranmeldung ausnutzbar. Im Klartext: wer mit einer Version des Java-Plugins vor 8u77 im Web unterwegs ist, dessen Rechner kann durch den Besuch einer präparierten Web-Seite kompromittiert werden.

Oracle gibt allerdings an, nur die im Februar veröffentlichten Java-Versionen 8u73 und 8u74 seien betroffen. Ebenfalls anfällig ist Java 7 Update 97, das nur zahlende Oracle-Kunden erhalten haben. Für Java 7 gibt es seit April 2015 keine neuen, öffentlich verfügbaren Updates mehr. Nicht nur Windows-Nutzer sind gefährdet – die Warnung gilt auch für Mac OS X, Linux und Solaris.

Wie Oracle in seiner Warnmeldung zum Java-Update mitteilt, sind technische Details zu dieser Lücke durch Dritte veröffentlicht geworden. Da dies die Wahrscheinlichkeit einer Ausnutzung der Schwachstelle für Angriffe deutlich erhöht, rät Oracle zur umgehenden Installation der aktuellen Version Java 8 Update 77 .

Unklar bleibt dabei zunächst, ob Oracle mit diesem Update einen verunglückten Patch aus dem Jahr 2013 korrigiert, der eine als CVE-2013-5838 bekannt gewordene Lücke nur unzureichend gestopft hatte. Dass diese Schwachstelle mit nur vier Bytes Änderung am ursprünglichen PoC-Exploit (Proof of Concept) der polnischen Sicherheitsfirma Security Explorations weiterhin ausnutzbar ist, hat Adam Gowdiak, Chef von Security Explorations, vor zwei Wochen auf der JavaLand-Konferenz im Phantasialand in Brühl verkündet.

0 Kommentare zu diesem Artikel
2185642