Oracle schließt mit Java SE 8 Update 77 außerplanmäßig gravierende Sicherheitslücke

SicherheitSicherheitsmanagement
Java (Grafik: Oracle)

Sie steckt in Java SE 7 und 8 für Windows, Mac OS X, Linux und Solaris. Die Sicherheitslücke ist bereits öffentlich bekannt. Oracle stuft sie als “kritisch” ein, da Angreifer sie ausnutzen können, um ein System vollständig zu übernehmen.

Ein außerplanmäßiges Update für Java SE soll eine bereits öffentlich bekannte und als kritisch eingestufte Sicherheitslücke schließen. Nach Angaben von Oracle lässt sie sich auch aus der Ferne und ohne Authentifizierung ausnutzen. Angreifer könnten darüber Schadcode einschleusen und ausführen. Dazu reicht es aus, die Opfer auf eine präparierte Website locken.

Oracle schließt mit Java SE 8 Update 77 außerplanmäßig gravierende Sicherheitslücke(Grafik: Oracle)

Die Schwachstelle steckt in Java SE 7 Update 97 und früher sowie Java 8 Update 73 und 74 für Windows, Mac OS X, Linux und Solaris. Im zehn Punkte umfassenden Common Vulnerability Scoring System (CVSS) ist die Schwachstelle mit 9,3 Punkten bewertet. Oracle rät allen Nutzern dringend, das Update schnellstmöglich einzuspielen, da die technischen Details der Schwachstelle bereits veröffentlicht wurden. “Ein erfolgreicher Angriff auf die Lücke kann zu einer nicht autorisierten Übernahme des Betriebssystems führen, inklusive des Ausführens von Schadcode”, so Oracle.

Die Lücke wird mit Java SE 8 Update 77 behoben. Das verteilt Oracle über die automatische Update-Funktion der Laufzeitumgebung. Alternativ kann es von der Oracle-Website heruntergeladen werden. Dort finden sich zudem die aktuellen Versionen des Java Development Kit und der Server Java Runtime Environment. Updates für Java SE 7 stellt Oracle nur noch Kunden zur Verfügung, die Java-Support erworben haben.

Mit Java SE 8 Update 77 muss Oracle bereits das zweite Mal in diesem Jahr seine Java-Software außerplanmäßig aktualisieren. Das erste Mal wurde Anfang Februar eine auch als kritisch eingestufte Schwachstelle beseitigt. Sie erlaubte es Angreifern ebenfalls, die vollständige Kontrolle über ein System zu übernehmen. Regulär liefert Oracle viermal im Jahr Sicherheits-Updates in seiner Software. Das nächste Update ist für den 19. April geplant. Durch den großen Zeitabstand zwischen den planmäßigen Patches kann es immer wieder vorkommen, dass Lücken wochen- oder sogar monatelang ungepatcht bleiben. Sicherheitsexperten kritisieren das schon lange, Kriminelle freut es: Sie nutzen Java ausgesprochen häufig für Angriffe. Lediglich Lücken in Browsern werden von ihnen noch häufiger ausgenutzt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen