zurück zum Artikel

Angreifer können bei älteren Java-SE-Versionen mit präparierten WebStart-Anwendungen oder Webservices Schadcode auf Rechnern mit fehlerhaften Java-Releases installieren.

Oracle hat im Rahmen eines Critical Patch Update 14 Sicherheitslücken [1] in der Java Standard Edition (Java SE) beseitigt. Angreifer können offenbar durch diese via präparierten Java-WebStart-Anwendungen oder Webdiensten ohne Authentifizierung Schadcode auf Rechnern mit den fehlerhaften Java-Versionen installieren. Letzteres ist laut Hersteller insbesondere unter Windows möglich, weil dort Anwender für gewöhnlich mit Admin-Rechten arbeiten. Das Risiko verringere sich daher beispielsweise unter Linux und Solaris.

Die Lücken, von denen Java-Statthalter Oracle fünf in die höchste Risikoklasse einordnet [2], betreffen JDK (Java Development Kit) und JRE (Java Runtime Environment) 7 Update 2, JDK und JRE 6 Update 30, JDK und JRE 5.0 Update 33 sowie SDK und JRE 1.4.2:35, jeweils samt der Vorgänger-Releases. Auch ältere Versionen als JavaFX 2.0.2 sind von der Schwachstelle beeinträchtigt.

In den nun bereitgestellten Java SE 7 Update 3, Java SE 6 Update 31 und JavaFX 2.0.3 [3] hat Oracle die Lücken geschlossen. Die Updates liegen für Windows, Linux und Solaris bereit. Unter Windows werden sie mittels automatischer Updates eingespielt. Sonst lassen sich die Patches von der Java-Download-Seite [4] herunterladen und manuell installieren. Oracle empfiehlt, die fehlerhaften Versionen möglichst rasch zu ersetzen. (ane [5])

URL dieses Artikels:
https://www.heise.de/-1434894

Links in diesem Artikel:
[1] http://www.oracle.com/technetwork/topics/security/javacpufeb2012verbose-366319.html
[2] http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
[3] http://www.oracle.com/technetwork/java/javafx/downloads/index.html
[4] http://www.oracle.com/technetwork/java/javase/downloads/index.html
[5] mailto:ane@heise.de

Copyright © 2012 Heise Medien