Oracle behebt 40 Fehler in Java

Oracle hat im Rahmen des Juni-Patchday das planmäßige Update für Java SE bereitgestellt. Es schließt insgesamt 40 Sicherheitslücken. Das von 19 von ihnen ausgehende Risiko stuft das Unternehmen als kritisch ein. Diese Lücken sind im zehnstufigen Common Vulnerability Scoring System (CVSS) mit 10.0 bewertet.

Nach Angaben des Unternehmens sind Java 7 Update 21 und früher, Java 6 Update 45 und früher, Java 5.0 Update 45 und früher sowie JavaFX 2.2.21 und früher betroffen. 37 der jetzt beseitigten Lücken lassen sich ohne Authentifizierung aus der Ferne ausnutzen. Mithilfe nicht vertrauenswürdiger Java-Web-Start-Anwendungen kann ein Angreifer Schadcode einschleusen und ausführen. In vier Fällen sind auch Server-Installationen der Laufzeitumgebung betroffen.

Einer der Fehler steckt im Javadoc-Tool ab Version 1.5 sowie den damit erstellten HTML-Seiten. Er erlaubt Frame Injection, das heißt, ein Angreifer kann Frames in eine anfällige Website einfügen. Neben dem Patch stellt Oracle auch ein Java API Documentation Updater genanntes Tool zur Verfügung . Es kann bereits erstellte anfällige HMTL-Dateien reparieren.

“Oracle empfiehlt, dass dieses kritische Patch-Update so schnell wie möglich eingespielt wird, weil es Fixes für einige ernste Anfälligkeiten enthält”, heißt es im Software Security Assurance Blog des Unternehmens. “Desktop-Nutzer können die automatische Updatefunktion verwenden oder Java.com besuchen, um sicherzustellen, dass sie die neueste Version ausführen.”

Apple verteilt seit gestern Abend das Sicherheitsupdate 2013-004 für Mac OS X 10.7 Lion und 10.8 Mountain Lion. Für Mac OS X 10.6 Snow Leopard bietet es das Java-Update 16 an. Beide stopfen insgesamt 34 Sicherheitslücken und aktualisieren Java auf die Version 6 Update 51.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de