Oracle veröffentlicht Notfall-Patch für Java

Der Software-Hersteller Oracle hat einen Notfall-Patch für die Windows-Versionen von Java 6, 7 und 8 veröffentlicht, der ein kritisches Sicherheitsloch bei der Installation der Anwendungen schliessen soll. Obwohl es relativ unwahrscheinlich ist, dass ein Angreifer die Lücke ausnutzen kann, hat sich der Hersteller doch für die Publikation des Patches entschieden. Normalerweise hält sich Oracle an einen vierteljährlichen Rhythmus, um neue Security-Updates freizugeben.

So hat das Unternehmen erst vor zwei Wochen rund 248 Sicherheitsflicken veröffentlicht. Die nun gefundene Lücke setzt nach Aussage von Oracle-Mitarbeiter Eric P. Maurice voraus, dass ein Anwender zunächst eine böswillige Webseite besucht und dort mehrere nicht näher genannte Dateien herunterlädt. Installiert er anschliessend eine der noch ungepatchten Java-Versionen auf seinem System, kann der Angreifer noch während des Setups die Sicherheitslücke ausnutzen und vollen Zugriff auf den Rechner erhalten.

Weil die Sicherheitslücke CVE-2016-0603 nur während der Installation besteht, sind Anwender, die Java bereits auf ihrem PC haben, nicht davon betroffen. Java-Setup-Dateien niedriger als 6u113, 7u97 und 8u73 sollten jedoch nicht mehr eingesetzt werden.

Ende Januar hatte Oracle angekündigt, das Java-Browser-Plug-In nicht mehr weiterentwickeln zu wollen. In zukünftigen Java-Versionen soll es gar nicht mehr enthalten sein.