Notfall-Patch für Java
Java SE für Windows weist ein Leck auf, über das Angreifer aus der Ferne ohne Authentifizierung ein System übernehmen können. Allerdings soll das Leck nicht ganz leicht auszunutzen sein.
Java leidet an einem kritischen Leck und Oracle veröffentlicht dafür außerplanmäßig in Java SE 6, 7 und 8 einen Patch. Ein Angreifer könnte unter Umständen Schadcode einschleusen, ausführen und so die vollständige Kontrolle über ein betroffenes System übernehmen. Das 10 Punkte umfassenden Common Vulnerability Scoring System (CVSS) bewertet die Schwachstelle allerdings nur mit 7,6 Punkten. Es sei laut Oracle sehr aufwendig, diese auszunutzen.
Der Fehler steckt in den Versionen JDK und JRE 6 Update 111, JDK und JRE 7 Update 95 sowie JDK und JRE 8 Update 71 und 72. Er lässt sich aber nur während der Installation von Java SE ausnutzen. Vorher muss ein Hacker sein Opfer außerdem dazu verleiten, eine schädliche Website zu besuchen und speziell präparierte Dateien herunterzuladen.
Oracle weist auch darauf hin, dass sich die Anfälligkeit aus der Ferne und ohne Authentifizierung ausnutzen lässt. Betroffen ist ausschließlich Java SE für Windows.
Nutzer, die eine der im Januar veröffentlichten Java-Versionen bereits verwenden, müssen laut Oracles Advisory nichts unternehmen. “Java-Benutzer, die die Critical-Patch-Update-Versionen für Java SE 6, 7 oder 8 vom Januar 2016 nicht installiert haben, müssen ein Upgrade durchführen”, heißt es in den Release Notes für Java SE 8. Das Unternehmen rät zudem, gespeicherte ältere Java-Installer durch die nun fehlerbereinigten Versionen Java SE 6 Update 113, 7 Update 97 und 8 Update 73 zu ersetzen.
Erst vor knapp drei Wochen hatte Oracle insgesamt 248 Sicherheitslöcher in seinen Produkten gestopft. Acht davon steckten in Java SE, wobei für drei die höchste CVSS-Risikobewertung von 10,0 galt. Oracles nächster regulärer Patchday findet am 19. April statt.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de