Oracle veröffentlicht wichtiges Java Update 7.13

Oracle hat ein ursprünglich erst für den 19. Februar geplantes großes Update für Java SE vorgezogen, da eine der 50 darin reparierten Sicherheitslücken, die das Java Runtime Environment (JRE) in Browsern betrifft, bereits aktiv ausgenutzt wird. Diese Lücke war im letzten Update nur teilweise geschlossen worden.

Von den insgesamt 50 geschlossenen Sicherheitslücken bewertet Oracle selbst 26 mit der höchsten Stufe 10. Java in Version 7 wird auf 7.13 angehoben, bei Java 6 wird auf 6.39 erneuert. Das Update für Java 7 für Windows, Linux und Mac OS X kann von der Downloadseite von Oracle bezogen werden. Das Update für Java 6 liegt im Entwicklerbereich bereit.

Das Update auf Java 7.11 hatte eine Schwachstelle nicht völlig geschlossen, wie der polnische Sicherheitsforscher Adam Gowdiak zwei Tage nach dem Update nachwies. Oracle hatte zuvor die Sicherheitsrichtlinien für die im Browser ausgeführten Applets von „mittel“ auf „hoch“ heraufgesetzt und damit dem Anwender per Dialog die Genehmigung der Ausführung überlassen. Gowdiak gelang der Nachweis, dass trotzdem auf zwei Wegen weiterhin unsignierte Applets ungefragt zur Ausführung gelangen konnten. Diese Möglichkeiten hat Oracle nun geschlossen.

Da ein Exploit für diese Lücke seit rund drei Wochen in den Exploit-Kits Blackhole und Nuclear Pack im Internet angeboten wird, empfiehlt Oracle dringlich, dieses Update zeitnah einzuspielen. In dem Zusammenhang sei auch nochmals vor falschen Java-Updates gewarnt, die lediglich Backdoors auf dem Rechner einbauen.