Java SE: Oracle beseitigt 13 Schwachstellen

SicherheitSicherheitsmanagement
Java Logo

Die aktuellen Java-Updates für Windows, Linux und Solaris stuft Oracle als “kritisch” ein. Apple hat den Java-Patch auch für Mac OS X 10.7 und 10.6 freigegeben.

Oracle hat an seinem Juni-Patchday ein Update für Java SE bereitgestellt, das insgesamt 13 Sicherheitslücken schließt. Betroffen sind Java für Windows, Linux und Solaris. Ein Angreifer könnte die Anfälligkeiten aus der Ferne und ohne Authentifizierung ausnutzen, um Schadcode auf betroffenen Rechnern zu installieren.

Das Update steht für JDK und JRE 7 Update 4 und früher, 6 Update 32 und früher und 5.0 Update 35 und früher zur Verfügung. Auch SDK und JRE 1.4.2_37 und früher und JavaFX 2.1 und früher sind einer Sicherheitswarnung zufolge anfällig.

Das Risiko, das von sechs Schwachstellen ausgeht, stuft Oracle als “kritisch” ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit 10.0 bewertet. Sie lassen sich durch nicht vertrauenswürdige Java-Web-Start-Applikationen sowie Webdienste ausnutzen, die Daten an Programmierschnittstellen (API) senden.

“Aufgrund der Bedrohung, die von einem erfolgreichen Angriff ausgeht, empfiehlt Oracle dringend, dass Kunden die Updates so schnell wie möglich einspielen”, schreibt Oracle in der Sicherheitswarnung. Unter Windows wird der Patch über die automatische Updatefunktion verteilt. Er lässt sich auch von der Java-Website herunterladen. Den nächsten regulären Patchday hat Oracle für 16. Oktober 2012 angekündigt.

Darüber hinaus hat Apple ein Java-Update für die Client- und Serverversionen von Mac OS X 10.7 Lion und 10.6 Snow Leopard veröffentlicht. Es schließt elf der jetzt von Oracle gemeldeten Lücken. Außerdem führt Apple eine neue Sicherheitsfunktion ein, die seit Mai Safari-Nutzern unter Mac OS zur Verfügung steht. Das Update deaktiviert das Java-Plug-in, wenn es für einen längeren Zeitraum nicht benutzt wurde.

Zuletzt hatte Apple Java-Updates mit einer zeitlichen Verzögerung von teilweise mehreren Wochen ausgeliefert. Im April schloss das Unternehmen beispielsweise ein Loch, das Oracle schon im Februar beseitigt hatte. In der Zwischenzeit missbrauchten es Hacker für die Verbreitung des Trojaners Flashback, der mehrere Hunderttausend Rechner weltweit infizierte.

Downloads: