Drittes Java-Update innerhalb eines Monats

Java 7 Update 17 und Java 6 Update 43 veröffentlicht (Update)

Es ist für Oracle ungewöhnlich, Patches außerhalb des dreimonatigen Patchzyklus zu veröffentlichen. Drei Patches innerhalb eines Monats – davon zwei außer der Reihe – sind daher schon sehr ungewöhnlich. Das dritte Update innerhalb dreißig Tagen wurde gestern veröffentlicht. Es soll die Lücke CVE-2013-1493 schließen.

Oracle hat in diesem Fall nun anscheinend schnell reagiert und einen Patch für die Verwundbarkeit veröffentlicht, über die wir vor wenigen Tagen berichteten. Wie aus einem Blog-Eintrag von Oracle hervorgeht, war dieses Einfallstor bereits seit dem 1. Februar bekannt.

Die Lücke, die nur das Java-Plugin für Browser betrifft, war bereits gezielt in Wirtschaftskreisen ausgenutzt worden, um Schadcode auf Rechner einzuschleusen. Dabei handelt es sich um den Trojaner „McRAT“, der, nachdem er sich selbst in Form einer DLL gesichert und nötige Anpassungen der Registry zu seinem Schutz vorgenommen hat, einen „Command and Control Server“ für weitere Instruktionen kontaktiert.

Eigentlich sollte CVE-2013-1493 bereits mit dem Sicherheits-Update für Java 7 am 16. Februar geschlossen werden. Dann entschloss sich Oracle aber, aufgrund des Schadpotenzials auch Anwender von Java SE 6 zu schützen, obwohl jene ab Ende Februar eigentlich keine kostenlosen Updates mehr erhalten sollten. Gleichzeitig wurde auch eine weitere Verwundbarkeit mit dem Sicherheits-Code CVE-2013-0809 geschlossen. Oracle rät dringend zum schnellen Aktualisieren auf die neuen Versionen Java 6 Update 43 und Java 7 Update 17. Als nächster Patchday bei Oracle ist der 16. April vorgesehen.

Update 17:51 Uhr (Forum-Beitrag)

Auch dieses Update hält nicht, was es verspricht. Wie der polnische Sicherheitsforscher Adam Gowdiak berichtet, sind die Lücken, die er mit seinem Team entdeckte und an Oracle meldete, immer noch ausnutzbar. Die Java-Sandbox ist mit präparierten Web-Applets immer noch zu umgehen, und so der Zugriff auf das System ungehindert möglich.

Anzeige