Categories: Cybersicherheit

Oracle schließt 50 Sicherheitslücken in Java

Die Updates für Java SE stehen seit vergangenen Freitag für Windows, Mac OS X, Linux und Solaris zur Verfügung. Apple aktualisiert zudem Java 6 unter Mac OS X 10.6 Snow Leopard auf die Version 1.6.0_39.

Den Versionshinweisen zufolge beseitigt Oracle insgesamt 50 Schwachstellen in Java für Windows, Linux, Solaris und Mac OS X ab Version 10.7.3. Die Anfälligkeiten stecken in Java 7 Update 11 und früher, Java 6 Update 38 und früher, Java 5.0 Update 38 und früher sowie Java 1.4.2_40 und früher. Auch JavaFX 2.2.4 und früher ist betroffen.

Das Risiko, das von 26 Sicherheitslücken ausgeht, stuft Oracle als “kritisch” ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit 10.0 bewertet. Sie lassen sich durch nicht vertrauenswürdige Java-Web-Start-Anwendungen sowie Webdienste ausnutzen, die Daten an Programmierschnittstellen senden. Oracle empfiehlt Kunden, die Updates so schnell wie möglich einzuspielen. Unter Windows werden sie über die automatische Updatefunktion verteilt. Sie lassen sich auch von der Java-Website herunterladen.

Oracle beseitigt auch eine Anfälligkeit, die es Cyberkriminellen erlaubt, die Sicherheitseinstellungen von Java zu umgehen. Entdeckt wurde die Lücke vom polnischen Security-Start-up Security Explorations. “Wir haben herausgefunden, dass auf einem Windows-System unabhängig von den vier Einstellungsmöglichkeiten für die Sicherheitsebene unsignierter Java-Code erfolgreich ausgeführt werden kann”, sagte Adam Gowdiak, Gründer des Unternehmens, in der vergangenen Woche.

Die Sicherheitseinstellungen im Java Control Panel hatte Oracle erst im Oktober 2012 mit dem Update 10 für Java 7 eingeführt. Es können die Stufen “niedrig”, “mittel (empfohlen)”, “hoch” und “sehr hoch” ausgewählt werden. “Sehr hoch” bedeutet eigentlich, dass unsignierte Anwendungen die Sandbox der Laufzeitumgebung nicht verlassen können, was Nutzer theoretisch vor allen möglichen Bedrohungen schützen sollte.

Das von Apple bereitgestellte Java Update 12 für Mac OS X 10.6 schließt insgesamt 30 Lücken. Es ist 72,7 MByte groß und kann über die automatische Updatefunktion heruntergeladen werden. Einem Advisory zufolge kann bei einem Besuch eine Website mit einem speziell gestalteten Java-Applet Schadcode eingeschleust und außerhalb der Sandbox der Laufzeitumgebung ausgeführt werden.

[mit Material von Topher Kessler, News.com]

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago