40 Fehler weniger in Java SE
Mit dem letzten separat veröffentlichten, geplanten Patch behebt Oracle Fehler in Java SE. Der Großteil von ihnen war ohne Authentifizierung über das Netz ausnutzbar. Frei zugänglich ist in der Regel nur das Update für die aktuelle Version 7.
- Christian Kirsch
Wie angekündigt hat Oracle am gestrigen Dienstag ein Sicherheits-Update für sein Java SE veröffentlicht. Es schließt 40 Lücken, von denen sich 37 über das Netz ohne Authentifizierung ausnutzen ließen. Betroffen sind alle Versionen ab Java 5.
Nur für die aktuelle Version 7 stellt Oracle jedoch allen Interessenten die korrigierte Version kostenlos zur Verfügung. Mac-Anwender erhalten ein aktualisiertes Java SE 6_51 automatisch per App-Store oder können es direkt herunterladen (DMG-Datei). Apple stellt diese Java-Version auch für das ältere OS X 10.6 (Snow Leopard) bereit, dort soll ab Safari 5.1.9 nun außerdem die Möglichkeit bestehen, die Aktivität des Java-Plug-ins von Website zu Website zu kontrollieren. Alle anderen Nutzer älterer Java-Versionen bekommen das Update nur, wenn sie einen Wartungsvertrag besitzen.
Viele der jetzt behobenen Schwachstellen betrafen die 2D-, AWT- und JMX-Frameworks und waren lediglich durch Applets auszunutzen, die im Browser oder per Web Start liefen. Diese Technik nutzt auch das Verfahren ELSTEROnline zur Abgabe von Steuererklärungen. Elf der Lücken hat Oracle der höchsten Gefährdungsstufe 10.0 zugeordnet. Ein Fehler betrifft lediglich die Darstellung der von JavaDoc erzeugten HTML-Dokumentation: Dort können Angreifer unter bestimmten Umständen einen Frame injizieren. Für Nutzer, die die Dokumentation nicht selbst aus dem Java-Code neu erstellen können, bietet Oracle ein Update-Werkzeug an. Eine ausführliche Beschreibung der behobenen Fehler gibt es online.
Dies wird das letzte planmäßige Java-Update außerhalb von Oracles üblichem dreimonatigem Zyklus sein. Ab Mitte Oktober integriert es die Java-Korrekturen mit allen übrigen Patches. (ck)