Java trotz Notfall-Patch verwundbar
Oracle hat aktualisierte Versionen von Java 5, 6 und 7 bereitgestellt. Sie schließen zwei kritische Lücken, von denen eine bereits von Cyber-Kriminellen ausgenutzt wird. Sicher ist Java allerdings trotzdem nicht.
Oracle hat erneut ein außerplanmäßiges Notfall-Update für Java herausgegeben [1], um eine kritische Schwachstelle zu schließen, die bereits von Cyber-Kriminellen ausgenutzt wird [2]. Abgesichert wurden die Versionen 5 bis 7. Allzu arglos sollte man mit aktivem Java-Plug-in aber dennoch nicht surfen: Sicherheitsforscher Adam Gowdiak hat in den aktuellen Versionen bereits neue Lücken entdeckt.
Java-Sicherheitschef Eric P. Maurice räumt ein [3], dass Oracle bereits am ersten Februar über die Lücke mit der CVE-Nummer CVE-2013-1419 informiert wurde – also rund einen Monat, bevor die Sicherheitsfirma FireEye den ersten Angriff beobachtet hat. Zu diesem Zeitpunkt sei es aber schon zu spät gewesen, um die Schwachstelle am Februar-Patchday (bei Oracle heißt er Critical Patch Update) zu berücksichtigen. Das aktuelle Notfall-Update schließt darüber hinaus eine Schwachstelle mit der CVE-Nummer CVE-2013-0809. Beide Lücken befinden sich in den 2D-Zeichenfunktionen.
Betroffen sind die Java-Versionen 5 bis 7. Die aktuellen Versionsnummern lauten Java 7 Update 17 (1.7.0_17) und Java 6 Update 43 (1.6.0_43). Laut den FAQ [4] handelt es sich dabei um das letzte Update für den 6er-Versionszweig. Nach Angaben von Oracle wurde außerdem der 5er-Zweig auf 1.5.0_41 aktualisiert.
Verwundbar sind wie bei vorhergehenden Sicherheitslücken nur per Browser oder Webstart ausführbare Java-Applets; Server- und Desktop-Anwendungen sollen dadurch nicht angreifbar sein. Oracle empfiehlt seinen Kunden, möglichst schnell auf die aktuelle Java-Version zu aktualisieren.
OS-X-Nutzer erhalten die Aktualisierung für Java 6 direkt von Apple. Der Hersteller brachte dazu in der Nacht zum Dienstag das Java for Mac OS X 10.6 Update 14 [5] für Snow Leopard sowie Java for OS X 2013-002 [6] für Lion und Mountain Lion heraus. Das Java-7-Update wird auch auf dem Mac von Oracle [7] direkt verteilt.
Die gerade veröffentlichen Java-Versionen sind zwar sicherer geworden, aber keineswegs sicher: Der polnische Schwachstellen-Experte Adam Gowdiak erklärte heise Security, dass die von ihm und seinem Team entdeckten Issues 54 bis 60 [8] auch Java 7 Update 17 betreffen. Laut Gowdiak gibt es mindestens zwei Wege, die Java-Sandbox mit speziell präparierten Web-Applets auszutricksen, um ungehindert auf das System zuzugreifen.
Der beste Schutz vor Angriffen durch Java-Lücken ist wie gehabt das Deaktivieren des Java-Plug-ins innerhalb des Browsers. Seit kurzem gibt es im Java Control Panel, das sich unter Windows in der Systemsteuerung befindet, hierfür unter dem Registerreiter "Sicherheit" die Option "Java-Content im Browser deaktivieren". Wer gelegentlich auf Webseiten angewiesen ist, die noch auf Java setzen, kann die Funktion Click-to-play von Firefox und Chrome benutzen. Ist sie aktiv, muss man dem Start von Plug-ins explizit per Mausklick zustimmen. (rei [9]) / (ck [10])
URL dieses Artikels:
https://www.heise.de/-1815992
Links in diesem Artikel:
[1] http://www.oracle.com/technetwork/topics/security/alert-cve-2013-1493-1915081.html
[2] https://www.heise.de/news/Angriff-auf-aktuelle-Java-Versionen-1814512.html
[3] https://blogs.oracle.com/security/entry/security_alert_cve_2013_1493
[4] http://java.com/en/download/faq/java_6.xml
[5] https://support.apple.com/kb/DL1573
[6] https://support.apple.com/kb/DL1572
[7] https://www.java.com/en/download/mac_download.jsp?locale=en
[8] http://seclists.org/fulldisclosure/2013/Mar/38
[9] mailto:rei@heise.de
[10] mailto:ck@ix.de
Copyright © 2013 Heise Medien