Notfall-Patch für Java

Java leidet an einem kritischen Leck und Oracle veröffentlicht dafür außerplanmäßig in Java SE 6, 7 und 8 einen Patch. Ein Angreifer könnte unter Umständen Schadcode einschleusen, ausführen und so die vollständige Kontrolle über ein betroffenes System übernehmen. Das 10 Punkte umfassenden Common Vulnerability Scoring System (CVSS) bewertet die Schwachstelle allerdings nur mit 7,6 Punkten. Es sei laut Oracle sehr aufwendig, diese auszunutzen.

Der Fehler steckt in den Versionen JDK und JRE 6 Update 111, JDK und JRE 7 Update 95 sowie JDK und JRE 8 Update 71 und 72. Er lässt sich aber nur während der Installation von Java SE ausnutzen. Vorher muss ein Hacker sein Opfer außerdem dazu verleiten, eine schädliche Website zu besuchen und speziell präparierte Dateien herunterzuladen.

Oracle weist auch darauf hin, dass sich die Anfälligkeit aus der Ferne und ohne Authentifizierung ausnutzen lässt. Betroffen ist ausschließlich Java SE für Windows.

Nutzer, die eine der im Januar veröffentlichten Java-Versionen bereits verwenden, müssen laut Oracles Advisory nichts unternehmen. “Java-Benutzer, die die Critical-Patch-Update-Versionen für Java SE 6, 7 oder 8 vom Januar 2016 nicht installiert haben, müssen ein Upgrade durchführen”, heißt es in den Release Notes für Java SE 8. Das Unternehmen rät zudem, gespeicherte ältere Java-Installer durch die nun fehlerbereinigten Versionen Java SE 6 Update 113, 7 Update 97 und 8 Update 73 zu ersetzen.

Erst vor knapp drei Wochen hatte Oracle insgesamt 248 Sicherheitslöcher in seinen Produkten gestopft. Acht davon steckten in Java SE, wobei für drei die höchste CVSS-Risikobewertung von 10,0 galt. Oracles nächster regulärer Patchday findet am 19. April statt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

6 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

7 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago