Jetzt patchen: Kritische Lücke in Java SE
Wenn Java SE im Webbrowser auf einem Desktop-Computer läuft, können Angreifer Computer kompromittieren. Ein Sicherheitspatch steht bereit.
Oracles Java SE 7 Update 97 und Version 8 Update 73 und 74 für Linux, OS X, Solaris und Windows sind verwundbar. Davon ist aber ausschließlich Java SE im Webbrowser auf Desktop-Computern betroffen. Standalone-Applikationen und Versionen für Server, die ausnahmslos vertrauenswürdigen Code ausführen, sind nicht betroffen, erläutert Oracle in einer Sicherheits-Warnung.
Entwickler finden die abgesicherte Version auf einer Download-Seite von Oracle. Windows-Nutzer kommen über java.com an das Sicherheits-Update. Alternativ können sie auch die automatische Update-Funktion nutzen. Oracle rät dringend dazu, die betroffenen Java-SE-Versionen abzusichern. Denn die technischen Details für einen erfolgreichen Angriff seien bereits an die Öffentlichkeit gelangt.
Um den Übergriff einzuleiten, müssen Angreifer Opfer auf eine manipulierte Webseite locken. Anschließend können Kriminelle den Computer ausspähen und manipulieren, warnt Oracle. Die Ausnutzung der Lücke sei aus der Ferne und ohne Authentifikation möglich. Die Bedrohungslage stuft Oracle mit dem CVSS Base Score 9.3/10 ein. Diese sehr hohe Einstufung gilt aber nur, wenn das potenzielle Opfer über Admin-Rechte verfügt. (des)
