"Oracle hat Sicherheits-Updates für Java 7 bereit
gestellt. Sie beheben eine kritische Schwachstelle, die bereits für
Angriffe ausgenutzt wird. Auch für Mac OS X ist Java 7 Update 7
erhältlich.
Nach mehrtägigem Schweigen hat Oracle ohne Ankündigung die neue Java-Version Java 7 Update 7
(7u7, 1.7.0_07) veröffentlicht. Darin hat der Hersteller vier
Sicherheitslücken geschlossen, darunter auch die bereits seit Tagen für Angriffe im Web ausgenutzte Schwachstelle. Wer Java als Plug-in (JRE) im Browser nutzt, sollte die neue Version umgehend installieren, um sich zu schützen.
Drei der vier in Java 7 Update 7 beseitigten Lücken sind
als kritisch eingestuft, auch die ausgenutzte Schwachstelle
CVE-2012-4681. Oracle ordnet ihnen den Höchstwert 10.0 im CVSS-Score zu.
Alle drei betreffen die Komponente Java Beans und können ohne
Benutzeranmeldung über ein Netzwerk ausgenutzt werden, um Code
einzuschleusen und auszuführen. Zumindest für eine der Lücken ist in den
letzten Tagen offensichtlich geworden, dass dies mehr als nur eine
theoretische Möglichkeit ist.
Die vierte Lücke betrifft auch Java 6. Oracle hat
daher Java 6 Update 35 (6u35, 1.6.0_35) bereit gestellt, das diese
Schwachstelle behebt. Sie hat allerdings den CVSS-Score 0.0, denn sie
ist laut Oracle für sich allein nicht ausnutzbar. Sie könnte jedoch im
Zusammenspiel mit anderen Lücken dazu dienen, die mit diesen erzielbare
Wirkung eines Angriffs zu verstärken.
Außerdem bestätigt das Update für Java 7 die neue
Vorgehensweise Apples und Oracles bei der Versorgung des
Betriebssystems Mac OS X mit Java-Updates. Oracle liefert Java seit 7u6 (Java 7 Update 6) vom 15. August nicht nur für Windows, Linux und Solaris sondern auch für Mac – Apple
hält sich raus. Da dies jedoch offenbar nur für Mac OS X ab 10.7.3
(Lion) gilt, bleiben ältere System-Versionen zumindest vorläufig auf dem
Stand Java 6 Update 33. Das stellt zurzeit noch kein Sicherheitsrisiko
dar, was sich jedoch jederzeit ändern kann."
Quelle: pcwelt.de
Keine Kommentare:
Kommentar veröffentlichen