Oracle schließt erneut kritische Java-Lücken

Wie bereits berichtet, hatte Oracle das ursprünglich für den 19. Februar vorgesehene Sicherheits-Update für seine Java-Software aus Gründen der Dringlichkeit vorgezogen und wollte lediglich „eine geringe Anzahl von zunächst angedachten Fixes“ am 19. Februar nachliefern.

Von den jetzt nachgelieferten Patches sind allerdings drei der höchsten Gefährdungsstufe 10 zugeordnet, ein vierter, wird mit Gefährdungsstufe 5 klassifiziert und trägt die Nummer CVE-2013-1485. Die drei Lücken der höchsten Gefährdungsstufe sind den CVE-Nummern 2013-1484, 2013-1486 und 2013-1487 zugeordnet. Alle vier Lücken sind leicht auszubeuten und bedürfen keiner Authentifizierung. Betroffen sind die Laufzeitumgebungen Java SE 6 und 7. Das Update für Version 6 trägt die Bezeichnung Java SE 6 Update 41, das für Version 7 heißt Java SE 7 Update 15. Die Java Management Extensions (JMX) stellen neben verschiedenen Bibliotheken erneut, wie schon häufiger in den letzten Monaten, den Haupt-Angriffsvektor dar. Alle vier Lücken betreffen die Ausführung von Java-Applets im Browser oder mit Mausklick per Web Start.

Außerdem wurde noch die Lücke mit der Nummer CVE-2013-0169 geschlossen, die die Implementierung der TLS Protokolle 1.1 und 1.2 in OpenSSL betraf. Nutzer sind angehalten, die Updates zeitnah einzuspielen. Darüber hinaus gab Oracle bekannt, dass dies die letzten öffentlichen Patches für Java 6 waren. Zukünftig wird der Auto-Upgrade-Mechanismus als auch das Update per Java Control Panel eine installierte Version von Java SE 6 entfernen und die aktuelle Version von Java SE 7 installieren.