Oracle kommt mit dem Schließen kritischer Java-Lücken kaum nach. Am Montag Abend hat der Java-Hersteller bereits die vierte Runde der Java-Updates in diesem Jahr heraus gegeben. Oracle stellt Java 7 Update 17 (7u17) und Java 6 Update 43 (6u43) bereit. Darin sind zwei Sicherheitslücken beseitigt, von denen zumindest eine bereits für gezielte Angriffe ausgenutzt wird. Diese Schwachstelle ist Oracle bereits seit Anfang Februar bekannt gewesen, wie Eric Maurice im Oracle Security Blog zugibt. Das seit jedoch nicht früh genug gewesen, um die Lücke schon in Java 7 Update 15 vom 19. Februar zu schließen. Für Java 6 hat Oracle bereits mehrfach angekündigt, es solle keine weiteren Updates geben. Zuletzt hieß es, Ende Februar sei Schluss damit. Doch seit gestern Abend ist Java 6 Update 43 erhältlich. Apple hat zeitnah nachgezogen und für Mac-Systeme ebenfalls Updates bereit gestellt, die Java 6 auf den neuesten Stand bringen. Java 7 erhalten Mac-Nutzer hingegen, wie Windows- und Linux-Nutzer, direkt bei Oracle. Java 7 gibt es für Mac allerdings erst ab OS X 10.7.3. Doch auch die neueste Version Java 7 Update 17 (1.7.0_17) enthält Schwachstellen, deren Ausnutzung es ermöglicht die Sandbox zu umgehen und eingeschleusten Code auszuführen. Adam Gowdiak und sein polnisches Sicherheitsunternehmen Security Explorations haben mehrere Lücken an Oracle gemeldet, die auch in der neusten Java-Version noch nicht geschlossen sind. Das nächste Java-Update soll am 16. April erscheinen. Für den in dieser Woche in Vancouver stattfindenden Hacker-Wettbewerb Pwn2own heißt das, Java gehört zu den am niedrigsten hängenden Früchten. Im diesjährigen Wettbewerb gilt es erstmals nicht nur Web-Browser, sondern auch gängige Plug-ins wie Java, Flash und Adobe Reader zu hacken.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.