Oracle aktualisiert Java SE 6 und 7 unplanmäßig

Oracle hat auf Berichte reagiert, wonach Hacker zwei Schwachstellen im Java-Plug-in für Browser ausnutzen, und ein außerplanmäßiges Update für Java SE 6 und 7 bereitgestellt. Die Lücken können einer Sicherheitsmeldung zufolge “aus der Ferne ohne Authentifizierung” ausgenutzt werden. Ein Opfer müsse dafür lediglich eine speziell präparierte Website besuchen.

Die Schwachstellen stecken in der 2D-Komponente von Java SE 7 Update 15 und früher, Java SE 6 Update 41 und früher sowie Java 5.0 Update 40 und früher. Das von ihnen ausgehende Risiko stuft Oracle als kritisch ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit der Höchstpunktzahl 10,0 bewertet.

Von einer der beiden Lücken wisse man seit dem 1. Februar, schreibt Eric Maurice, Software Security Assurance Director bei Oracle, in einem Blog. Zu dem Zeitpunkt sei es aber zu spät gewesen, um einen Fix in das am 19. Februar veröffentlichte Critical Patch Update einzubeziehen. Angesichts der Berichte über die Ausnutzung der Lücken habe sich Oracle entschlossen, den Fehler zusammen mit einem weiteren Bug zeitnah zu beseitigen.

Apple hat zudem die Updates Java für OS X 2013-002 und Java für Mac OS X 10.6 Update 14freigegeben. Sie aktualisieren Java unter Mac OS X Snow Leopard 10.6 oder später, Lion 10.7 oder später und Mountain Lion 10.8 oder später.

Indes haben Forscher bei Symantec herausgefunden, dass der vom Sicherheitsunternehmen FireEye entdeckte Trojaner McRAT, der eine der jetzt gepatchten Anfälligkeiten ausnutzt, mit einem gestohlenen Zertifikat von Bit9 signiert worden ist. Der Sicherheitsexperte Brian Krebsweist darauf hin, dass die Malware mit den Befehlsservern kommuniziert, die im Rahmen der Analyse des Angriffes auf Bit9 identifiziert wurden.

Die Angriffe mit McRAT, der auch als Naid-Trojaner bezeichnet wird, nutzen Symantec zufolge mehrere Sicherheitslücken aus. Darunter ist auch eine Schwachstelle, die zuvor für Attacken auf Amnesty International in Hongkong verwendet worden war.

Im Juli 2012 waren Unbekannte in Systeme von Bit9 eingedrungen. Sie stahlen Sicherheitszertifikate, mit denen die Echtheit von Software bestätigt wird. Malware lässt sich so als ein legitimes Programm ausgeben. Bit9 entdeckte den Diebstahl erst im Januar dieses Jahres.

Downloads:

[mit Material von Dara Kerr, News.com, und Liam Tung, ZDNet.com]

Redaktion

View Comments

  • Finde es gut wenn ein Unternehmen darauf reagiert wenn es Probleme oder Sicherheitslücken gibt. Oftmals wird ja viel zu lange gewartet und nicht reagiert.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago