Oracle schließt weitere Lücken in Java und setzt außerplanmäßigen Patchday an

Oracle hat wie angekündigt ein weiteres Sicherheitsupdate für Java SE veröffentlicht. Es beseitigt fünf Schachstellen, die, obwohl damals schon bekannt, in dem Anfang des Monats bereitgestellten Patch nicht berücklsichtigt worden waren. Das Unternehmen setzt zudem einen zusätzlichen Patchday im April an.

Vier der fünf Schwachstellen lassen sich laut einem Eric Maurice, Director für Software Assurance bei Oracle, mithilfe von manipulierten Java-Web-Start-Anwendungen und speziell präparierten Java Applets in Browsern ausnutzen. Zwei von ihnen stecken nur in Java 7 Update 13 und nicht in den älteren Versionen 5 und 6.

Das Risiko, das von drei der nun geschlossenen Lücken ausgeht, stuft Oracle als kritisch ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit 10.0 bewertet. Oracle empfiehlt Kunden daher, die fehlerbereinigten Versionen Java SE 7 Update 15 beziehungsweise 6 Update 41 so schnell wie möglich einzuspielen. Letzteres kann jedoch nur über die Oracle-Website heruntergeladen werden und nicht über Java.com.

Die in Java SE 6 integrierte Update-Funktion fordert Nutzer ab sofort auf, auf Java SE 7 Update 15 umzusteigen. Den Support für Java 6 hatte Oracle nach Protesten gewerblicher Nutzer zuvor mehrfach verlängert.

Der nächste geplante Patchday findet nun am 16. April statt. Ursprünglich wollte Oracle das nächste Sicherheitsupdate erst im Juni herausbringen. Weitere Patches sind für Oktober 2013 und Januar 2014 geplant.