04.02.2013, 09:31

Frank Ziemann

50 Java-Lücken gestopft

Oracle verlegt Java Patch Day vor

Java-Update beseitigt 50 Lücken

Nach dem Bekanntwerden neuerlicher Angriffe auf offene Java-Schwachstellen hat sich Oracle entschlossen, ein seit Monaten für den 19. Februar geplantes Sicherheits-Update für Java 7 und Java 6 mehr als zwei Wochen früher zu veröffentlichen.

Oracle hat kurz vor dem Wochenende Java 7 Update 13 und Java 6 Update 39 zum Download bereit gestellt. Darin haben die Java-Entwickler 50 Schwachstellen beseitigt. Alle bis auf eine können über ein Netzwerk ohne Benutzeranmeldung ausgenutzt werden. Für 26 dieser Lücken gibt Oracle einen CVSS-Score von 10.0 an – die höchste Risikostufe. Mindestens eine dieser Schwachstellen wird laut Oracle bereits für Angriffe ausgenutzt.

Wenn Sie Java installiert haben und es auch benötigen, sollten Sie umgehend die neueste Version installieren. Wer es an sich nicht benötigt, sollte es deinstallieren. Sie können für alle Fälle das Installationsarchiv der jeweils aktuellsten Version vorhalten. Offen bleibt einstweilen, wie lange es diesmal dauern wird, bis neue Java-Lücken auftauchen.

Klar ist hingegen, dass für Java 6 das Ende der Fahnenstange erreicht ist. Weitere Updates wird es nicht mehr geben, außer für zahlende Kunden (Java for Business). Bis zum nächsten Sicherheits-Update (geplant oder außer der Reihe) sollte der Wechsel von Java 6 auf Java 7 vorbereitet und vollzogen werden. Der nächste turnusmäßige Update-Termin für Java 7 ist am 18. Juni.

Mac-Nutzer (ab OS X 10.7.3) erhalten Java 7 direkt bei Oracle. Benutzer älterer Systeme (Mac OS X 10.6), für die es nur Java 6 gibt, erhalten "Java for Mac OS X 10.6 Update 12" über das eingebaute Software-Update oder als Download bei Apple.

Kommentare zu diesem Artikel (24)

Scasi
04.02.13

Java Patch Day
und weiter geht die Flickschusterei - aber da eh kein Ende in Sicht, können Sie den Krempel auch weiterhin behalten! :D

Das aktuelle Update soll die von Browsern eingebundene Java-Laufzeitumgebung (JRE) wieder surfsicher machen. Dem Hersteller zufolge enthält es insgesamt 50 Korrekturen für alle aktuell unterstützten Java-Varianten.[B] 26 der Sicherheitsrisiken bewertet Oracle mit der höchsten Stufe 10[/B], zwei mit Stufe 9,3. [B]Bis auf eine sind alle Lücken von außen zugänglich[/B]; die Ausnahme betrifft den Java-Installationsprozess.
von http://www.heise.de/newsticker/meldung/Grosses-Notfall-Update-fuer-Java-1796504.html

wer sowas auf'm Rechner hat, ist selber schuld! aber Hauptsache, die Spiele spielen ...

btw: gibt's bei den aktuellen Updates auch wieder die Ask-Toolbar kostenlos dazu?
Antwort schreiben
deoroller
04.02.13

Wie funktioniert Elster ohne Java?
Antwort schreiben
Scasi
04.02.13

is mir doch wurscht! :D
Antwort schreiben
IRON67
04.02.13

Zitat: Scasi
...gibt's bei den aktuellen Updates auch wieder die Ask-Toolbar kostenlos dazu?

Mal abgesehen davon, dass ich Java als Browser-Plugin strikt ablehne und seine Verwendung, egal wie gepatcht es auch sein mag, für Sicherheitsrisiko Nr. 1 auf PCs betrachte, kann ich mich nicht daran erinnern, JEMALS etwas von der Ask-Toolbar in Zusammenhang mit Java-Updates gehört zu haben.
Beim normalen Updateangebot des Flashplayers allerdings wird, wenn man das Häkchen nicht rausnimmt, der "McAfee security Scan" mitinstalliert.
Antwort schreiben
deoroller
04.02.13

Es ist egal, was man zusätzlich untergejubelt kriegt. Wenn man benutzerdefiniert installiert, kann man Foistware vermeiden.
Antwort schreiben
kikaha
04.02.13

Zitat: IRON67
, kann ich mich nicht daran erinnern, JEMALS etwas von der Ask-Toolbar in Zusammenhang mit Java-Updates gehört zu haben.
.

Dann mal zur Auffrischung......
http://www.spiegel.de/netzwelt/web/java-7-oracle-schliesst-sicherheitsluecken-a-881276.html
Antwort schreiben
IRON67
04.02.13

Zitat: deoroller
Es ist egal, was man zusätzlich untergejubelt kriegt. Wenn man benutzerdefiniert installiert, kann man Foistware vermeiden.

Der Offline-Installer, den man bei Oracle bekommt, ist zumindest frei von Beigaben und bietet auch gar keine Wahl zw. Standard- und benutzerdef. Installation.

[QUOTE=kikaha]Dann mal zur Auffrischung......[/QUOTE]
Interessant. Das ist dann aber definitiv ein anderer Installer.
Antwort schreiben
Scasi
04.02.13

[QUOTE=IRON67]... kann ich mich nicht daran erinnern, JEMALS etwas von der Ask-Toolbar in Zusammenhang mit Java-Updates gehört zu haben.
[/QUOTE]da kann ich aber nix für! :D - ganz aktuelles Beispiel:

[CENTER][IMG]http://www.pcwelt.de/forum/attachment.php?attachmentid=27498&d=1359979029[/IMG][/CENTER]
Antwort schreiben
kalweit
04.02.13

Zitat: deoroller
Wie funktioniert Elster ohne Java?

Natürlich nicht. Ich habe für das Gedöhns extra eine VM.
Antwort schreiben
IRON67
04.02.13

Zitat: Scasi
da kann ich aber nix für! :D - ganz aktuelles Beispiel:

Wie schon geschrieben: Derartiges ist mir nicht begegnet. Ich tippe mal heftig drauf, dass das ein Screenshot vom Online-Installer ist, den man bei java.com erhält. Und man sieht, dass die Toolbar abwählbar ist. Wer sowas übersieht, ist selbst schuld.
Antwort schreiben
deoroller
04.02.13

Man kriegt aber das Kästchen zu sehen. Unbedarfte meinen, das gehöre so und trauen sich nicht, etwas zu ändern. Das wird bei Voreinstellung ausgenutzt.
Antwort schreiben
Scasi
04.02.13

> Ich tippe mal heftig drauf, dass das ein Screenshot vom Online-Installer ist ...

natürlich tippst Du richtig, aber das ist nun mal das, was Otto-Normal-User idR. zu sehen kriegt! und mit "abwählen" hat der es nun mal nicht so ...
Antwort schreiben
kikaha
04.02.13

Allein die tatsache das mir da jemand was unterjubeln will lässt mich davon abstand nehmen.

Und mich ärgert das ich nicht selbst auf die VM gekommen bin um Elster auszuführen.
Antwort schreiben
IRON67
04.02.13

Zitat: Scasi
...aber das ist nun mal das, was Otto-Normal-User idR. zu sehen kriegt! und mit "abwählen" hat der es nun mal nicht so ...

Ja, der ONU wird immer ein leichtes Opfer sein. Wer sich nicht bemüht, über diesen Status hinauszuwachsen, wird immer Probleme mit dem PC haben. Keine Software kann etwas daran ändern - nicht einmal Aufklärung in Foren wie diesem, da man dem ONU die Entscheidung, endlich mal dazuzulernen, nicht aufzwingen kann.
Antwort schreiben
Scasi
04.02.13

Amen. *seufz*

nettes Schlusswort - kann das mal jemand gaaanz oben anpinnen!?

Antwort schreiben
kalweit
04.02.13

Zitat: Scasi
kann das mal jemand gaaanz oben anpinnen!?

...genauso kannst du Eulen nach Athen tragen...
Antwort schreiben
Scasi
04.02.13

heißt das nicht inzwischen "Euros"? :D
Antwort schreiben
kalweit
04.02.13

Nee, die kommen ja da nie an.
Antwort schreiben
Scasi
04.02.13

auch wieder wahr! die werden ja nur durchgereicht zu den "Banken unseres Vertrauens" ...
Antwort schreiben
IRON67
05.02.13

Was Neues zum Thema Crapware bei Java-Updates...
Antwort schreiben
deoroller
05.02.13

Für die Petition unter Change.org haben sich die Initiatoren das Ziel gesetzt, 250.000 Unterzeichner zu gewinnen.

Gibt es überhaupt so viele Nerds?
Antwort schreiben
Mary Christmas
05.02.13

Zitat: IRON67
Was Neues zum Thema Crapware bei Java-Updates...

Mich macht das ungeheuer wütend.
Fast nichts mehr kann man installieren, ohne sich vorher alles genauestens durchgelesen zu haben, und man darf auf keinen Fall auf Standard-Installation klicken, sonst wird man reingelegt und hat Dutzende von Toolbars und anderes Giftzeug auf dem Rechner.
Es macht keinen Spaß mehr, wenn dauernd versucht wird, einen reinzulegen.
Antwort schreiben
IRON67
05.02.13

Zitat: deoroller
Gibt es überhaupt so viele Nerds?

Weltweit? Bestimmt. Vergiss China nicht.
Antwort schreiben
kalweit
05.02.13

Zitat: IRON67
Vergiss China nicht.

Aber nur, wenn die Petition im Interesse von China ist - ansonsten: Rübe ab.
Antwort schreiben