Java trotz Notfall-Patch verwundbar

Oracle hat aktualisierte Versionen von Java 5, 6 und 7 bereitgestellt. Sie schließen zwei kritische Lücken, von denen eine bereits von Cyber-Kriminellen ausgenutzt wird. Sicher ist Java allerdings trotzdem nicht.

In Pocket speichern vorlesen Druckansicht 279 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Christian Kirsch

Oracle hat erneut ein außerplanmäßiges Notfall-Update für Java herausgegeben, um eine kritische Schwachstelle zu schließen, die bereits von Cyber-Kriminellen ausgenutzt wird. Abgesichert wurden die Versionen 5 bis 7. Allzu arglos sollte man mit aktivem Java-Plug-in aber dennoch nicht surfen: Sicherheitsforscher Adam Gowdiak hat in den aktuellen Versionen bereits neue Lücken entdeckt.

Java-Sicherheitschef Eric P. Maurice räumt ein, dass Oracle bereits am ersten Februar über die Lücke mit der CVE-Nummer CVE-2013-1419 informiert wurde – also rund einen Monat, bevor die Sicherheitsfirma FireEye den ersten Angriff beobachtet hat. Zu diesem Zeitpunkt sei es aber schon zu spät gewesen, um die Schwachstelle am Februar-Patchday (bei Oracle heißt er Critical Patch Update) zu berücksichtigen. Das aktuelle Notfall-Update schließt darüber hinaus eine Schwachstelle mit der CVE-Nummer CVE-2013-0809. Beide Lücken befinden sich in den 2D-Zeichenfunktionen.

Betroffen sind die Java-Versionen 5 bis 7. Die aktuellen Versionsnummern lauten Java 7 Update 17 (1.7.0_17) und Java 6 Update 43 (1.6.0_43). Laut den FAQ handelt es sich dabei um das letzte Update für den 6er-Versionszweig. Nach Angaben von Oracle wurde außerdem der 5er-Zweig auf 1.5.0_41 aktualisiert.

Verwundbar sind wie bei vorhergehenden Sicherheitslücken nur per Browser oder Webstart ausführbare Java-Applets; Server- und Desktop-Anwendungen sollen dadurch nicht angreifbar sein. Oracle empfiehlt seinen Kunden, möglichst schnell auf die aktuelle Java-Version zu aktualisieren.

OS-X-Nutzer erhalten die Aktualisierung für Java 6 direkt von Apple. Der Hersteller brachte dazu in der Nacht zum Dienstag das Java for Mac OS X 10.6 Update 14 für Snow Leopard sowie Java for OS X 2013-002 für Lion und Mountain Lion heraus. Das Java-7-Update wird auch auf dem Mac von Oracle direkt verteilt.

Über das Java Control Panel macht man dem Java-Plug-in, auf das es die Cyber-Kriminellen häufig abgesehen haben, mit einem Mausklick den Garaus.

Die gerade veröffentlichen Java-Versionen sind zwar sicherer geworden, aber keineswegs sicher: Der polnische Schwachstellen-Experte Adam Gowdiak erklärte heise Security, dass die von ihm und seinem Team entdeckten Issues 54 bis 60 auch Java 7 Update 17 betreffen. Laut Gowdiak gibt es mindestens zwei Wege, die Java-Sandbox mit speziell präparierten Web-Applets auszutricksen, um ungehindert auf das System zuzugreifen.

Der beste Schutz vor Angriffen durch Java-Lücken ist wie gehabt das Deaktivieren des Java-Plug-ins innerhalb des Browsers. Seit kurzem gibt es im Java Control Panel, das sich unter Windows in der Systemsteuerung befindet, hierfür unter dem Registerreiter "Sicherheit" die Option "Java-Content im Browser deaktivieren". Wer gelegentlich auf Webseiten angewiesen ist, die noch auf Java setzen, kann die Funktion Click-to-play von Firefox und Chrome benutzen. Ist sie aktiv, muss man dem Start von Plug-ins explizit per Mausklick zustimmen. (rei) / (ck)