Großes Notfall-Update für Java
Oracle hat überraschend das nächste Java-Update vorgezogen. Java-Version 7 Update 13 bringt 50 Sicherheitskorrekturen, viele davon schließen kritische Lücken. Anwendern sei daher empfohlen, ihre Java-Installationen möglichst bald zu aktualisieren.
- Gerald Himmelein
Eigentlich wollte Oracle die nächsten Updates für seine Laufzeitumgebung Java erst am 19. Februar veröffentlichen. Da die Sicherheitslücken des im Januar erschienenen Java 7 Update 11 bereits ausgenutzt werden, wurde das Update 13 als Notmaßnahme um zwei Wochen vorgezogen. "Angesichts der Gefahr eines erfolgreichen Angriffs" empfiehlt Oracle in seinem Critical Patch Update Advisory, die Aktualisierung möglichst schnell einzuspielen.
Das aktuelle Update soll die von Browsern eingebundene Java-Laufzeitumgebung (JRE) wieder surfsicher machen. Dem Hersteller zufolge enthält es insgesamt 50 Korrekturen für alle aktuell unterstützten Java-Varianten. 26 der Sicherheitsrisiken bewertet Oracle mit der höchsten Stufe 10, zwei mit Stufe 9,3. Bis auf eine sind alle Lücken von außen zugänglich; die Ausnahme betrifft den Java-Installationsprozess.
Java 7 wird über das Critical Patch Update auf Update 13 aktualisiert – Update 11 wurde erst am 14. Januar veröffentlicht. Für Java 6 ist ab sofort Update 39 aktuell. Java 7 Update 13 für Windows, Mac OS und Linux ist auf der allgemeinen Download-Seite verfügbar. Das Java 6 Update 39 steht über den Download-Bereich für Entwickler bereit, Nutzer von Mac OS X 10.6.8 (Snow Leopard) finden es als "Java for Mac OS X 10.6 Update 12" über die Update-Funktion des Betriebssystems.
Derzeit stehen die Java-Laufzeitbibliotheken unter Dauerbeschuss. Über das Browser-Plug-in gelingt es Angreifern immer wieder, an allen Sicherheitsvorkehrungen vorbei Code auf Zielrechnern einzuschleusen. Bereits zwei Tage nach Veröffentlichung des letzten Updates hatte der Sicherheitsforscher Adam Gowdiak zwei Methoden gefunden, über die sich die frisch eingeführten Sicherheitsmaßnahmen wieder umgehen ließen.
Das Java-7-Update 11 hatte Oracle die Standard-Sicherheitseinstellungen für im Browser ausgeführte Applets von "mittel" auf "hoch" gesetzt. Das sollte eigentlich dafür sorgen, dass unsignierte Applets auf Webseiten erst ausgeführt werden, nachdem der Nutzer einen Sicherheitsdialog abgenickt hat. Gowdiak und seinem Team gelang es jedoch, diese Schutzfunktion auzuhebeln und Applets weiterhin ohne Zutun des Nutzers zur Ausführung zu bringen. Oracle hat die sogenannte "Java Security Slider vulnerability" mit dem Update 13 abgedichtet.
Wer auf Java im Browser verzichten kann, sollte das Plug-in derzeit am besten komplett deaktivieren – für Chrome, Firefox und Safari stellen die jeweiligen Browser-Hersteller Schritt-für-Schritt-Anleitungen bereit. Das US-Amerikanische Computer Emergency Readiness Team (US-CERT) empfahl vor kurzem sogar, die Laufzeitumgebung komplett zu deinstallieren.
In diesem Zusammenhang sei darauf hingewiesen, dass sich Kriminelle die aktuelle Verunsicherung zunutze machen, um vermeintliche "Java-Updates" zum Download bereitzustellen. Diese stopfen jedoch keine Sicherheitslücken, sondern installieren vielmehr Hintertüren auf dem PC. Andererseits sollte man sich auch nicht auf den mit Java installierten automatischen Updater verlassen. Dieser meldet die Verfügbarkeit von Updates mitunter erst mit mehreren Tagen Verspätung.
Siehe dazu auch:
- Java Runtime Environment (JRE) im heise Software-Verzeichnis