Java: Oracle liefert auch Patch für kürzlich entdeckte Zero-Day-Lücke

SicherheitSicherheitsmanagement
Java Logo (Grafik: Oracle)

An seinem planmäßigen, vierteljährlichem Patchday behebt das Unternehmen insgesamt 193 Sicherheitslücken. Neben Java enthalten auch die Oracle Datenbanken und MySQL Sicherheits-Updates. Die Java-Lücke mit der Kennung CVE-2015-2590 wurde Trend Micro zufolge schon für ausgefeilte Angriffe ausgenutzt.

Mit dem planmäßigen Juli-Update für zahlreiche seiner Programme behebt Oracle insgesamt 193 Sicherheitslücken. Einer der Patches schließt auch die Schachstelle mit der Kennnung CVE-2015-2590, eine von Trend Micro entdeckte Zero-Day-Lücke in Java. Des weiteren beheben die Aktualisierungen Schwachstellen in der Datenbank sowie den Oracle-Produkten Fusion Middleware, Hyperion, Enterprise Manager, E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, Siebel CRM, Communications Applications, Sun Systems Products Suite, Oracle Linux, Oracle Virtualization sowie MySQL.

Das aktuelle Java-Update schließt auch die Sicherheitslücke mit der Kennung CVE-2015-2590 (Bild: Oracle)

Das weitverbreitete Java erhält 25 Korrekturen. 23 der dsmit geschlossenen Lücken lasse sich auch aus der Ferne und ohne Authentifizierung ausnutzen lassen, sidn also als sehr gefährlich einzustufen. 16 Updates beschränken sich auf Clients, fünf betreffen Clients und Server und ein Fix behebt ein Problem bei der Installation von Java SE. Auf die von der von Trend Micro entdecken Zero-Day-Lücke in Java ausgehehende Gefahr weist Oracle ausdrücklich hin. : “Dieses kritische Update adressiert auch einen eben bekannt gewordenen Zero-Day-Fehler (CVE-2015-2590), der auch schon ausgenutzt wird.”

Trend Micro hatte vor wenigen Tagen bei der weiteren Analyse der Malware-Kampagne Pawn Storm eine bis dahin unbekannte Sicherheitslücke in Java entdeckt. Dem Sicherheitsanbieters zufolge es die erste Zero-Day-Lücke in der Laufzeitumgebung seit fast zwei Jahren. Der Fehler steckt in der Java-Version 8 Update 45. Ältere Releases Jvon ava 6 und Java 7 sind nicht betroffen. Die Schwachstelle erlaube es Angreifern, Schadcode einzuschleusen und auszuführen.

Browser-Plug-ins wie Java, Flash Player oder Silverlight sind ein sehr beliebtes Angriffsziel von Hackern. Nutzer, die darauf nicht angewiesen sind, sollten sie deaktiveren oder zumindest einstellen, dass sie erst die Zustimmung des Anwenders einholen, bevor sie Inhalte ausführen. Dieses als “Click-To-Play” bekannte Feature bieten unter anderem Firefox und Chrome.

Beim Update auf die aktuellste Java-Version wird Nutzern zudem voreingestellt bei Internet Explorer und Chrome als Standardsuche und Startseite die Yahoo-Suche aufgderängt. Wer das nicht möchte, darf nicht verpassen, das bereits gesetzte Häkchen abzuwählen. Die Yahoo-Suche hat in dieser unrühmlichen Funktion die – allerdings noch unbeliebtere – Ask-Toolbar abgelöst.

Yahoo-Suche beim Java-Update (Bild: Oracle)

Wer versäumt hat, das Häkchen abzuwählen, kann beim Internet Explorer die von ihm bevorzugte Startseite über das Zahnrad für die Einstellungen oben rechts erneut festlegen. In dem Menü wird unter “Internetoptioenn” der Reiter “Allgemein” ausgewählt. Dort lässt sich dann die gewünschte Startseite eintragen. Die Standard-Suchmaschine zu ändern, ist etwas komplizierter und je nach genutzter Browser-Version unterschiedlich.

Google erklärt das für den Internet Explorer ganz gut anhand der Umstellung auf seine Suche, der Vorgang lässt sich aber natürlich auch auf andere Suchmaschinen übertragen. Bei Microsoft erhält man auf der entsprechenden Hilfe-Seite gleich die passende Erklärung für die verwendete Betriebssystemversion. Will man die Vorgehensweise für eine andere erfahren, lässt sich das dort auswählen. Für das Erklärvideo, das allerdings nicht unbedingt erforderlich ist, muss jedoch Silverlight aktiviert sein.

Bei Chrome kann die Standard-Suchmaschine nach Aufrufen der Einstellungen über den dann angezeigten Button “Suchmaschinen verwalten” geändert werden. Dort hat man, etwas darüber unter der Rubrik “Beim Start”, auch gleich die Möglichkeit, die gewünschte Startseite auszuwählen.

Downloads zu diesem Beitrag:

[Mit Material von Martin Schindler, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen