Java-Update schliesst kritische Lücke

Nachdem in der letzten Woche die gängigen Angriffsbaukästen zur Verbreitung von Malware um Exploit-Code für die neuste Java-Lücke (CVE-2013-0422) erweitert wurden, hat Oracle am Wochenende Java 7 Update 11 bereitgestellt. Darin haben die Entwickler zwei Sicherheitslücken geschlossen, darunter auch die für Angriffe im Web ausgenutzte Schwachstelle.

Für beide Schwachstellen gibt Oracle den höchsten CVSS Score 10.0 (Common Vulnerability Scoring Standard) an. Sie können mit unsignierten Java Applets ausgenutzt werden. Betroffen ist nur das Browser-Plug-In JRE (Java Runtime Environment) für Java 7. Frühere Java-Generationen, etwa Java 6, sind nicht anfällig für Angriffsszenarien, die auf diese Lücken zielen. Auch Server-Installationen sind nicht betroffen.
Mit diesem Update erhöht Oracle nach eigenen Angaben die voreingestellte Sicherheitsstufe für Java von «mittel» auf «hoch». Damit erfolgt stets eine Benutzerabfrage, bevor unsignierte Java Applets ausgeführt werden. Hat ein Benutzer über Systemsteuerung/Java eigene Sicherheitseinstellungen vorgenommen, bleiben diese erhalten.
Wer auf das Java-Plug-In im Browser für bestimmte Anwendungsfälle angewiesen ist, sollte seine Installation umgehend auf Java 7 Update 11 aktualisieren. Wer hingegen Java aus Sicherheitsgründen deinstalliert oder im Browser deaktiviert hat, ohne es bislang zu vermissen, kann es auch weiterhin dabei belassen. Die nächste Java-Lücke kommt bestimmt.