Oracle patcht kritische Java-Lücke

Oracle reagiert mit der Java-Version 7 Update 11 auf die kritische Sicherheitlücke, die bereits aktiv von Cyber-Kriminellen ausgenutzt wird. Neben der Schwachstelle (CVE-2013-0422) beseitigt das Update noch eine weitere Lücke ähnlichen Ausmaßes, von der das Unternehmen der CVE-Nummer zufolge bereits seit vergangenem Jahr weiß (CVE-2012-3174).

Neben dem Fix der zwei kritischen Schwachstellen, verändert Oracle auch den Umgang von Java mit Web-Applets. So wird das Default-Sicherheitslevel von "Medium" auf "Hoch" gesetzt. Damit werden Nutzer nun jedes Mal vor Ausführung eines nicht signierten Applets vor dem Sicherheitsrisiko gewarnt. Da bösartige Java-Programme in der Regel eher unsigniert sind, dürfte das zukünftige Angriffe erschweren.

Der polnische Sicherheitsforscher Adam Gowdiak, der im vergangenen Jahr diverse kritische Java-Lücken entdeckt hat, bleibt aber weiterhin skeptisch. Oracle untersuche Sicherheitsprobleme nicht gründlich genug und lasse sich zu lange Zeit für Patches. Java nach dem Update wieder zu aktivieren, könne er nicht empfehlen.

Am 10. Januar entdeckte ein Malware-Forscher mit dem Pseudonym kafeine, dass Cyber-Ganoven eine bislang unbekannte Schwachstelle zum Verteilen von Malware nutzen. Zu diesem Zeitpunkt war der passende Angriffscode sogar schon in dem Exploit-Kit Black Hole enthalten, wodurch ihn auch technisch weniger versierte Gauner benutzen konnten. Das US-amerikanische Department of Homeland Security und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnten daraufhin vor der Schwachstelle, das BSI riet sogar zur vollständigen Deinstallation von Java bis ein Patch zur Verfügung steht. Wer Java auf seinem System installiert hat, sollte umgehend ein Update auf die aktuelle Version durchführen, um sich vor Angriffen über die gefährliche Lücke zu schützen. (kbe)