Oracle patcht in Java SE 25 Sicherheitslücken
Im Rahmen des planmäßigen Patchdays hat Oracle ein Update für Java SE 6, 7 und 8 bereitgestellt. Mit ihm sollen nach Angaben des Unternehmens insgesamt 25 Sicherheitslücken beseitigt werden. Davon können 22 ohne Eingabe eines Nutzernamens und Passworts aus der Ferne ausgenutzt werden, stellen also eine erhebliche Gefahr dar.
Allerdings stuft Oracle nur neun der Schwachstellen als kritisch ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) werden sie mit 7.0 oder höher bewertet. Über sie könnte ein Angreifer mit Java-Web-Start-Anwendungen Schadcode einschleusen und ausführen.
Eine der kritischen Lücken steckt im Java-Plug-in für Firefox. Hier könnte ein Angreifer ebenfalls die Kontrolle über ein betroffenes System übernehmen. Gleiches gilt auch für einen Fehler im Java-Plug-in für den Internet Explorer. Diese Lücke kann laut Oracle allerdings nicht ohne Authentifizierung ausgenutzt werden.
Es empfiehlt sich, die Updates so schnell wie möglich einzuspielen. Wie die Cisco-Tochter Sourcefire in einem Bericht festgestellt hat, nutzen Kriminelle nämlich Java ausgesprochen häufig für Aagriffe. Wie die IT-Sicherheitsexperten im Januar mitgeteilt haben, wird Java für 91 Prozent aller Web-Angriffe als Einfallstor genutzt. Allerdings beschränkten sich die Sicherheitsforscher für ihre Studie auf Java, Microsoft Word, Excel und Powerpoint sowie Adobe Reader
Cisco und die Experten der Tochter Sourcefire stimmen darin überein, dass Hacker ihre Aktivitäten von Adobe-Produkten weg und zu Java hin verlagern. 2011 wurden M86 Security Labs zufolge in erster Linie Schwachstellen in Microsoft Internet Explorer und Office, Adobe Reader und Acrobat angegriffen. Java rangierte damals mit gerade zwei Schwachstellen in den Top 15. Einen Trend zu mehr Java-Exploits hatte im Dezember auch AV-Test gemeldet. Demnach erfolgten 66 Prozent aller Angriffe auf Windows-Systeme über Schwachstellen in Oracle Java, Adobe Flash und Adobe Reader. Der Untersuchungszeitraum re
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de