Sicherheitsupdate für Java
Oracle hat ein Sicherheitsupdate für Java SE und Java for Business veröffentlicht. In den Vorgängerversionen JDK und JRE 6 Update 23 oder früher, JDK 5.0 Update 27 oder früher sowie SDK 1.4.2_29 oder früher unter Windows, Solaris und Linux stecken insgesamt 21 Schwachstellen. Angreifer können sie ausnutzen, um beliebigen Schadcode einzuschleusen und auszuführen.
13 der 21 Lücken betreffen Java für Desktop-Systeme. 12 davon können laut einer Sicherheitswarnung durch nicht vertrauenswürdige Java-Web-Start-Applikationen beziehungsweise Java-Applets ausgenutzt werden, die in der Java-Sandbox mit eingeschränkten Rechten laufen. In einem Fall sei ein Exploit auch über eine Standalone-Anwendung möglich, so Oracle.
In Java für Server gibt es drei Lücken, die sich ebenfalls über Java-Web-Start-Applikationen und Java-Applets ausnutzen lassen. Ein mögliches Einfallstor für Malware sind Oracle zufolge auch manipulierte Daten, die beispielsweise über einen Web-Dienst an eine API in einer der anfälligen Komponenten übergeben werden. Eine Schwachstelle betrifft ausschließlich Windows. Sie findet sich in der Java-Update-Funktion.
Acht Lücken stuft Oracle als kritisch ein: Im zehnstufigen ‘Common Vulnerability Scoring System’ (CVSS) sind sie mit 10.0 bewertet. Das Unternehmen rät allen betroffenen Kunden, das Sicherheitsupdate schnellstmöglich zu installieren.