Oracle und Apple bringen Patches für Sicherheitslücken in Java
Oracle hat seinen eigentlich für 19. Februar anberaumten monatlichen Patchday vorgezogen und Updates für Java SE bereitgestellt. Als Grund nennt das Unternehmen mehrere Zero-Day-Lücken, die bereits von Hackern ausgenutzt werden. Apple hat zudem Java 6 unter Mac OS X 10.6 Snow Leopard auf die Version 1.6.0_39 aktualisiert.
Oracle beseitigt den Versionshinweisen zufolge insgesamt 50 Schwachstellen in Java für Windows, Linux, Solaris und Mac OS X ab Version 10.7.3. Die behobenen Lücken stecken in Java 7 Update 11 und früher, Java 6 Update 38 und früher, Java 5.0 Update 38 und früher sowie Java 1.4.2_40 und früher. Auch JavaFX 2.2.4 und früher ist betroffen.
Das Risiko, das von 26 der Sicherheitslücken ausgeht, stuft Oracle als “kritisch” ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit 10.0 bewertet. Sie lassen sich durch nicht vertrauenswürdige Java-Web-Start-Anwendungen sowie Webdienste ausnutzen, die Daten an Programmierschnittstellen senden. Oracle empfiehlt seinen Kunden, die Updates so schnell wie möglich einzuspielen. Unter Windows werden sie über die automatische Updatefunktion verteilt. Sie lassen sich auch von der Java-Website herunterladen.
Oracle beseitigt auch eine Schwachstelle, die es Cyberkriminellen erlaubt, die Sicherheitseinstellungen von Java zu umgehen. Entdeckt wurde die Lücke vom polnischen Unternehmen Security Explorations. “Wir haben herausgefunden, dass auf einem Windows-System unabhängig von den vier Einstellungsmöglichkeiten für die Sicherheitsebene unsignierter Java-Code erfolgreich ausgeführt werden kann”, sagte Adam Gowdiak, Gründer des Unternehmens, in der vergangenen Woche.
Die Sicherheitseinstellungen im Java Control Panel hatte Oracle erst im Oktober 2012 mit dem Update 10 für Java 7 eingeführt. Nutzer können die Stufen “niedrig”, “mittel (empfohlen)”, “hoch” und “sehr hoch” auswählen. “Sehr hoch” bedeutet eigentlich, dass unsignierte Anwendungen die Sandbox der Laufzeitumgebung nicht verlassen können, was Nutzer theoretisch vor allen Bedrohungen schützen sollte.
Das von Apple bereitgestellte Java Update 12 für Mac OS X 10.6 schließt insgesamt 30 Lücken. Durch eine davon kann dem Advisory zufolge bei einem Besuch eine Website mit einem speziell gestalteten Java-Applet Schadcode einschleusen und außerhalb der Sandbox der Laufzeitumgebung ausgeführt werden. Apples Java-Update kann über die automatische Updatefunktion heruntergeladen werden.
[mit Material von Topher Kessler, News.com]