SicherheitSicherheitsmanagement

Oracle behebt außerplanmäßig schwere Schwachstelle in Java

Java (Grafik: Oracle)
1 1 Keine Kommentare

Die Lücke findet sich in Java SE 6, 7, und 8 für Windows. Ausnutzbar ist sie aber nur während der Installation von Java. Allerdings könnte ein Angreifer dann die komplette Kontrolle über ein betroffenes System übernehmen.

Oracle hat außerplanmäßig eine Schwachstelle in Java SE 6, 7 und 8 beseitigt. Gegebenenfalls ist ein Angreifer dadurch in der Lage, Schadcode einzuschleusen und auszuführen, sodass er die komplette Kontrolle über ein betroffenes System übernehmen könnte. Die Sicherheitslücke ist im 10 Punkte umfassenden Common Vulnerability Scoring System (CVSS) jedoch lediglich mit 7,6 Punkten bewertet, da es Oracle zufolge sehr aufwendig ist, sie auszunutzen.

Java (Bild: Oracle)

Der Anfälligkeit findet sich in den Versionen JDK und JRE 6 Update 111, JDK und JRE 7 Update 95 sowie JDK und JRE 8 Update 71 und 72. Sie kann allerdings nur während der Installation von Java SE ausgenutzt werden. Zuvor muss ein Angreifer sein Opfer außerdem dazu verleiten, eine schädliche Website zu besuchen und speziell manipulierte Dateien herunterzuladen. Oracle verweist außerdem darauf, dass sich die Schwachstelle ebenso aus der Ferne sowie ohne jegliche Authentifizierung ausnutzen lässt. Betroffen ist ausschließlich Java SE für Windows.

Nutzer, die schon eine der im Januar freigegebenen Java-Versionen einsetzen, müssen laut Oracles Advisory nichts unternehmen. “Java-Benutzer, die die Critical-Patch-Update-Versionen für Java SE 6, 7 oder 8 vom Januar 2016 nicht installiert haben, müssen ein Upgrade durchführen”, heißt es in den Release Notes für Java SE 8. Das Unternehmen empfiehlt überdies, gespeicherte ältere Java-Installer durch die nun fehlerbereinigten Versionen Java SE 6 Update 113, 7 Update 97 und 8 Update 73 zu ersetzen.

Oracle hatte erst vor gut drei Wochen insgesamt 248 Sicherheitslöcher in seinen Produkten gestopft. Acht davon fanden sich in Java SE, wobei für drei die höchste CVSS-Risikobewertung von 10,0 galt. Oracles nächster regulärer Patchday findet am 19. April statt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Folgen