Oracle reagiert mit Notfall-Update auf Java-Schwachstelle

Oracle hat soeben kommentarlos die Java-Version 7 Update 7 herausgegeben, die offenbar eine hochkritische Schwachstelle beheben soll, welche bereits aktiv für Angriffe ausgenutzt wird. Der dazugehörige Security Alert auf der Herstellerseite war am heutigen Donnerstagabend noch leer, ein erster Test von heise Security zeigte jedoch, dass der Exploit in seiner bekannten Form nach dem Update tatsächlich blockiert wird. Auch eine von uns abgewandelte Exploit-Version wurde rechtzeitig gestoppt.

Wer Java auf seinem System installiert hat, sollte die neue Java-Version umgehend installieren. Das Sicherheitsproblem existiert in Java 7 bis einschließlich Update 6 in Verbindung mit allen unterstützen Betriebssystemen und Browsern. Durch die Schwachstelle kann ein Angreifer die Kontrolle über den Rechner übernehmen und etwa Schadcode installieren, wenn man eine präparierte Webseite ansurft.

Update vom 30.08, 21:30: Oracle hat den oben verlinkten Security Alert inzwischen mit Inhalt befüllt. Damit bestätigt sich unsere Beobachtung, nach der das oben beschriebene Sicherheitsproblem beseitigt wurde. Insgesamt hat das Unternehmen in diesem Zusammenhang vier Schwachstellen geschlossen. Drei der Lücken haben den höchstmöglichen Schweregrad von 10.0.

Oracle bedankt sich unter anderem bei dem Sicherheitsexperten Adam Gowdiak für das Aufspüren der Lücken und bestätigt damit indirekt seine Aussage, dass das Unternehmen bereits seit April über die Schwachstellen informiert ist. Die vierte Lücke betrifft auch Java 6, hat aber nur einen Schweregrad von 0.0, weil sie für sich genommen nicht ausnutzbar ist. Sie wird im 6er Versionszweig mit dem Update 35 geschlossen.

Update vom 31.08., 12:20: Auch für die auf OpenJDK basierende Java-Laufzeitumgebung IcedTea gab es aufgrund der Schwachstelle ein Update. Die fehlerbereinigte Version heißt 2.3.1. (rei)