Oracle stopft Sicherheitslecks: Updates für Java 1.4 bis 7

Oracle hat erneut ein Update für die Java-Laufzeitumgebung veröffentlicht. Es schließt fünf Sicherheitslücken, drei davon mit der höchsten Gefährdungsstufe. Auch die Schwachstelle "Lucky 13" soll beseitigt sein. Weitere Patches sollen im April folgen.

In Pocket speichern vorlesen Druckansicht 81 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christian Kirsch

In der Nacht zum heutigen Mittwoch hat Oracle das angekündigte Update zum erst vor drei Wochen außer der Reihe erschienenen "Critical Patch Update" veröffentlicht. Betroffen sind alle Java-Laufzeitumgebungen ab Version 1.4 bis zur aktuellen Version 7.

Dieses Update soll drei Lücken schließen, die Oracle der höchsten Gefährdungsstufe 10 zuordnet. Sie sind mit den CVE-Nummern 2013-1484, 2013-1486 und 2013-1487 gekennzeichnet und über das Netzwerk ohne Authentifizierung ausnutzbar. Betroffen sind Bibliotheken, Deployment-Komponenten und erneut JMX. Diese Java Management Extensions standen bereits in der Vergangenheit im Zentrum von Lücken, die der Sicherheitsforscher Adam Gowdiak aufdeckte.

Alle drei Lücken sowie eine vierte, weniger schwere (CVE-2013-1485) in den Bibliotheken betreffen die Ausführung von Java-Applets im Browser oder via Web Start. Dieses Verfahren kommt etwa bei der Steueranmeldung via ElsterOnline zum Einsatz.

Update 21.2. 11:05: Hinweis auf die AusweisApp entfernt. Sie läuft nicht als Applet oder via Web Start.

Geschlossen wurde auch die als "Lucky 13" bekanntgewordene Schwachstelle in der TLS/SSL-Implementierung (CVE-2013-0169). Der Angriff nutzt aus, dass das Entschlüsseln bestimmter manipulierter Nachrichten länger dauert als anderer. Seine Entdecker stuften ihn als noch nicht praktikabel ein, Oracle gab der Lücke 4.3 von 10 maximal möglichen Gefährdungspunkten. Sie betrifft als einzige der jetzt geschlossenen den Einsatz von Java auf dem Server.

Java-Nutzer sollten ihre Installation möglichst bald aktualisieren. Für Mac OS X stellt Apple per Software-Aktualisierung eine korrigierte Version von Java 6 zur Verfügung. Wer den Nachfolger benutzt, muss sich die Software selbst bei Oracle beschaffen. Am 16. April will Oracle außerhalb seines üblichen dreimonatlichen Zyklus weitere Java-Patches veröffentlichen, die nicht genannte Sicherheitslücken schließen sollen.

Mit diesem Patch stellt Oracle letztmalig Sicherheitsupdates für Java 6 öffentlich zur Verfügung. Zukünftige Aktualisierungen dieser Version gibt es nur noch für zahlende Support-Kunden. Bislang ist Java 6 noch die am weitesten verbreitete Desktop-Version. (ck)