Sicherheitslücke: Java während Installation verwundbar
Oracle hat eine Schwachstelle in Java geschlossen. Mit vergleichsweise viel Aufwand können Angreifer die Lücke alleinig im Verlauf der Installation von Java ausnutzen, um Computer zu übernehmen.
Über eine Schwachstelle in einigen Windows-Installationspaketen von Java SE 6, 7 und 8 können Angreifer Computer attackieren. Die Lücke mit der Kennzeichnung CVE-2016-0603 kann ausschließlich im Zuge der Installation ausgenutzt werden. Wer Java bereits installiert hat, ist nicht gefährdet, erläutert Oracle. Über Angriffe ist aktuell nichts bekannt.
Nur das abgesicherte Installationspaket 8u73 steht zum öffentlichen Download bereit. Die gefixten Versionen 6u113 und 7u97 erhalten ausschließlich zahlende Kunden, da der öffentliche Support im April 2015 eingestellt wurde. Java SE Advanced Enterprise soll nicht betroffen sein. Oracle hat den Bedrohungsgrad der Schwachstelle mit einem CVSS Base Score von 7,6/10 eingestuft.
Voraussetzungen für Angriff
Zwar könne ein Angreifer mit einem Exploit Computer kapern, dafür muss er aber seine Opfer vor der Java-Installation auf eine manipulierte Webseite locken und ihnen dann auf einem nicht näher beschriebenen Weg Schadcode unterjubeln. Weitere Details zur Lücke hat Oracle nicht veröffentlicht.
[UPDATE, 08.02.2016 17:00 Uhr]
Öffentlich verfügbare gefixte Version ergänzt. (des)