1666109

Java 7 Update 11

Oracle schließt Java Zero-Day-Lücke

14.01.2013 | 08:44 Uhr |

Oracle hat am Wochenende ein Sicherheits-Update für Java 7 bereit gestellt. Java 7 Update 11 beseitigt zwei als kritisch eingestufte Schwachstellen, von denen eine bereits für Angriffe im Web ausgenutzt wird.

Nachdem in der letzten Woche die gängigen Angriffsbaukästen zur Verbreitung von Malware um Exploit-Code für die neueste Java-Lücke (CVE-2013-0422) erweitert wurden, hat Oracle am Wochenende Java 7 Update 11 bereit gestellt. Darin haben die Entwickler zwei Sicherheitslücken geschlossen, darunter auch die für Angriffe im Web ausgenutzte Schwachstelle.

Für beide Schwachstellen gibt Oracle den höchsten CVSS Score 10.0 (Common Vulnerability Scoring Standard) an. Sie können mit unsignierten Java Applets ausgenutzt werden. Betroffen ist nur das Browser-Plugin JRE (Java Runtime Environment) für Java 7. Frühere Java-Generationen, etwa Java 6, sind nicht anfällig für Angriffsszenarien, die auf diese Lücken zielen. Auch Server-Installationen sind nicht betroffen.

Mit diesem Update erhöht Oracle nach eigenen Angaben die voreingestellte Sicherheitsstufe für Java von "mittel" auf "hoch". Damit erfolgt stets eine Benutzerabfrage, bevor unsignierte Java Applets ausgeführt werden. Hat eine Benutzer über Systemsteuerung/Java eigene Sicherheitseinstellungen vorgenommen, bleiben diese erhalten.

Wer auf das Java-Plugin im Browser für bestimmte Anwendungsfälle angewiesen ist, sollte seine Installation umgehend auf Java 7 Update 11 aktualisieren. Wer hingegen Java aus Sicherheitsgründen deinstalliert oder im Browser deaktiviert hat, ohne es bislang zu vermissen, kann es auch weiterhin dabei belassen. Die nächste Java-Lücke kommt bestimmt.

0 Kommentare zu diesem Artikel
1666109