Java-Update schließt 17 Sicherheitslücken

Neun der Lücken stuft Oracle in die höchste Risikoklasse ein. Angreifer können aus der Ferne einen PC mit Trojanern infizieren.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Oracle hat Java 6 Update 26 (1.6.0.26) veröffentlicht, in dem die Entwickler neun kritische Lücken in der Laufzeitumgebung geschlossen haben. Angreifer können die Lücken aus der Ferne ausnutzen, um über präparierte Java-Applets oder Java-Web-Start-Apps einen PC zu kompromittieren und unter ihre Kontrolle zu bringen. Letzteres ist laut Hersteller insbesondere unter Windows möglich, weil dort Anwender typischerweise mit Admin-Rechen arbeiten. Das Risiko etwa einer Infekton verringere sich daher beispielsweise unter Linux und Solaris.

Acht weitere Lücken hat Oracle mit einem CVS-Score zwischen 2,6 und 7,6 bewertet. Das Update lässt sich über die Aktualisierungsfunktion oder manuell installieren. Anwender sollten nicht zögern, die neue Version zu installieren, da Java unter Windows eines der beliebtesten Einfallstore für Trojaner ist. Exploits für neue Lücken werden in sogenannten Exploit-Packs regelmäßig aktualisiert.

Von den insgesamt 17 Fehlern sind auch einige im JDK 5.0 Update 29 und frühere sowie Java SE SDK 1.4.2_31 und früher zu finden. Für diese Versionen stehen aber keine Updates mehr zur Verfügung. Welche Java-Version auf dem eigenen Rechner installiert ist, kann man auf den Seiten von Oracle testen: Java-Version überprüfen. Dort gibt es auch Rätschläge, wie man parallel installierte, ältere Versionen entfernt. (dab)