Oracle stopft 13 Löcher in Java SE

Ein Angreifer könnte die Schwachstellen aus der Ferne und ohne Authentifizierung ausnutzen, um Schadcode auf betroffenen Rechnern zu installieren.

Das Update steht für JDK und JRE 7 Update 4 oder früher, Version 6 Update 32 oder früher und Version 5.0 Update 35 oder früher zur Verfügung. Auch SDK und JRE 1.4.2_37 oder früher und JavaFX 2.1 oder früher sind einer Sicherheitswarnung zufolge anfällig.

Das Risiko, das von sechs Schwachstellen ausgeht, stuft Oracle als “kritisch” ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit 10.0 bewertet. Sie lassen sich durch nicht vertrauenswürdige Java-Web-Start-Applikationen sowie Webdienste ausnutzen, die Daten an Programmierschnittstellen senden.

“Aufgrund der Bedrohung, die von einem erfolgreichen Angriff ausgeht, empfiehlt Oracle dringend, dass Kunden die Updates so schnell wie möglich einspielen”, schreibt Oracle in der Sicherheitswarnung. Unter Windows wird der Patch über die automatische Updatefunktion verteilt. Er lässt sich auch von der Java-Website herunterladen. Den nächsten regulären Patchday hat Oracle für den 16. Oktober 2012 angesetzt.

Nur Stunden nach Oracle hat auch Apple ein Java-Update für die Client- und Serverversionen von Mac OS X 10.7 Lion und 10.6 Snow Leopard veröffentlicht. Es schließt elf der von Oracle gemeldeten Lücken. Außerdem führt Apple eine neue Sicherheitsfunktion ein, die seit Mai Safari-Nutzern unter Mac OS zur Verfügung steht. Das Update deaktiviert das Java-Plug-in, wenn es für einen längeren Zeitraum nicht benutzt wurde.

Offenbar hat Apple aus seinen Fehlern gelernt: Bisher hatte es Java-Updates mit einer zeitlichen Verzögerung von teilweise mehreren Wochen ausgeliefert. Im April schloss es beispielsweise eine Lücke, die Oracle schon im Februar beseitigt hatte. In der Zwischenzeit missbrauchten sie Hacker für die Verbreitung des Trojaners Flashback, der mehrere Hunderttausend Rechner weltweit infizierte.