Security

Kritische Lücken in Java SE: Oracle veröffentlicht Notfall-Patch

Oracle hat einen außerplanmäßigen Patch für Java SE veröffentlicht, mit dem zwei kritische Sicherheitslücken geschlossen werden. Da mindestens eines der Lecks bereits ausgenutzt wird, ist ein Update dringend zu empfehlen.

05.03.2013, 11:15 Uhr
Laptop© Micha Bednarek / Fotolia.com

Galt früher Microsoft Windows als Symbol für unsichere Software, ist dieser unrühmliche Platz längst anderweitig vergeben. Drei Kandidaten wechseln sich dabei mit schöner Regelmäßigkeit ab: Neben Adobe Reader und Flash gehört dazu unzweifelhaft auch Oracles Java-Software. Letztere wurde nun erneut gepatcht.

Update dringend empfohlen

Die Aktualisierung auf Java 7 Update 17 schließt zwei kritische Sicherheitslücken in Java 7 Update 15, Java 6 Update 41 und Java 5.0 Update 40 sowie früheren Versionen (CVE-2013-0809, CVE-2013-1493). Diese waren in den Wochen nach dem letzten Update bekannt geworden und betreffen die Ausführung von Java SE innerhalb des Browsers.

Eine der Schwachstellen (CVE-2013-1493) ist Oracle nach eigenen Angaben bereits seit Anfang Februar bekannt und sollte ursprünglich erst im Rahmen des regulären Update-Zyklus' zum 16. April behoben werden. Nachdem das Leck Berichten zufolge aber bereits aktiv zur Verbreitung von Schadsoftware ausgenutzt worden sei, habe man sich entschieden, schnellstmöglich zu reagieren, so das Unternehmen auf dem hauseigenen Software Security Assurance Blog.

Beide Sicherheitslücken betreffen die 2D-Komponente von Java SE. Um das eigene System mit Malware zu infizieren, genügt es, eine entsprechend manipulierte Website zu besuchen. Ein Update wird daher dringend empfohlen. Ein Download der aktuellen Ausführung ist über java.com möglich. Alternativ erfolgt die Bereitstellung via Java Autoupdate: Die Funktion sucht in regelmäßigen Abständen nach neuen Versionen und informiert per Pop-Up-Hinweis, sobald eine Aktualisierung nötig wird. Manuell beschleunigen lässt sich die Patch-Suche über die Java-Einstellungen, zu finden in der Windows-Systemsteuerung beziehungsweise den Systemeinstellungen von Mac OS X.

Update: Java bleibt auch nach Update unsicher

Wie "Heise Online" am Dienstag unter Bezug auf einen Sicherheitsexperten berichtet, bleiben auch nach Installation des letzten verfügbaren Java-Updates mindestens zwei Schwachstellen bestehen, über die ein System unter bestimmten Umständen kompromittiert werden kann. Aus diesem Grund empfiehlt es sich, Java nur dann zu aktivieren, wenn es auch tatsächlich benötigt wird. Wer sich unsicher ist, kann die Software-Komponente auf jeden Fall gefahrlos deinstallieren und gegebenenfalls wieder einspielen. Darüber hinaus ist es unter Windows über die Java-Einstellungen im Reiter "Sicherheit" möglich, Java-Inhalte im Browser zu deaktivieren.

(Christian Wolf)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang