Oracle beseitigt 21 Lücken in Java

Nach der Übernahme des Java-Herstellers Sun Microsystems hat Oracle für Java einen separaten Patch-Zyklus etabliert, der alle vier Monate Sicherheits-Updates vorsieht, unabhängig vom Oracle Patch Day. Demgemäß hat Oracle am 15. Februar die neue Version Java 6 Update 24 (6u24, 1.6.0_24) bereit gestellt, um 21 Schwachstellen zu beheben.

Für Anwender ist vor allem die Java Laufzeitumgebung (JRE, Java Runtime Environment) interessant, die als Plug-in die Ausführung von Java-Applets im Web-Browser ermöglicht. Deren bisherige Versionen sind von 20 der 21 Lücken betroffen, acht davon haben die höchste Risikobewertung (CVSS Score 10.0) erhalten. Das bedeutet, dass ein Angreifer, der eine solche Schwachstelle ausnutzt, die volle Kontrolle über das System erlangen kann, falls der Anwender mit Administratorrechten angemeldet ist. Er kann beliebigen Code einschleusen und ausführen.

Weitere 11 Sicherheitslücken sind ebenfalls über ein Netzwerk, etwa das Internet ausnutzbar, ihr Risiko stuft Oracle jedoch niedriger ein. Eric Maurice geht im Oracle Global Product Security Blog auf die gestopften Lücken ein und liefert Links zu weiteren Oracle-Seiten, die Details zum Java-Update bereit halten.

Wenn Sie eine 64-Bit-Version von Windows einsetzen, etwa Windows 7, benötigen Sie im Normalfall dennoch die 32-Bit-Version der JRE, da die meisten Browser für Windows bislang lediglich als 32-Bit-Version erhältlich sind. Für die optional verfügbare 64-Bit-Fassung des Internet Explorer ist hingegen auch die 64-Bit-Version der JRE erforderlich. Das heißt, Sie benötigen unter Umständen beide JRE-Fassungen.