Oracle behebt gefährliche Schwachstellen in Java SE
Eine schon seit Juli bekannte Lücke ermöglicht das Aushebeln der Sicherheitsfunktion Click-to-Play. Bei Angriffen auf die NATO und die US-Regierung haben sie Hacker schon ausgenutzt. In der Summe schließt Oracle 25 Lecks in Java SE.
Oracle hat einen Sicherheitspatch für Java SE bereitgestellt, der 25 Schwachstellen schließen soll. Eine davon, auf die Trend Micro bereits im Juli hinghewiesen hat wurde von Hackern schon im Zuge der Operation Pawn Storm für Attacken auf die NATO sowie die US-Regierung ausgenutzt.
Laut Trend Micro ermöglicht die Sicherheitslücke mit der Kennung CVE-2015-4902, die Sicherheitsfunktion Click-to-Play auszuhebeln. Dadurch wird ein Dialog nicht angezeigt, mit dem Anwender für gewöhnlich gefragt werden, ob eine Java-Anwendung ausgeführt werden soll oder nicht. Das Verfahren selbst, mit dem die Abfrage deaktiviert wird, bezeichnet Trend Micro als “genial”.
Ohne Click-to-Play sei es möglich, Java-Applets oder Java-Web-Start-Anwendungen ohne Kenntnis des Nutzers auszuführen. In Verbindung mit einer weiteren Sicherheitslücke seien somit Drive-by-Downloads, also das Einschleusen von Schadcode, ohne Interaktion mit einem Nutzer möglich. Der Fall demonstriere auch, wie wichtig es sei, neue Sicherheitsfunktionen eines so komplexen Systems wie Java sorgfältig zu prüfen, ergänzte Trend Micro. Nur so könne sichergestellt werden, dass vorhandene “gute” Funktionen nicht untergraben würden.
24 der 25 jetzt behobenen Schwachstellen lassen sich laut Oracle aus der Ferne und ohne Authentifizierung ausnutzen. Vier Lücken weisen die höchste Risikobewertung 10 von 10 auf und eine weitere einen Basiswert von 9,3. Nutzern von Java 8 rät Oracle auf das Update 65 zu wechseln, das für Windows, Mac OS X, Solaris und Linux verfügbar ist. Ein Update für Java 7 bekommen nur Kunden, die Java-Support erworben haben oder ein Oracle-Produkt verwenden, das Java 7 erfordert.
Downloads zu diesem Beitrag:
[mit Material von Stefan Beiersmann, ZDNet.de]