Oracle schliesst kritische Java-Sicherheitslücke

Java - by OracleDie Sicherheitslücke in Java, welche Ende letzter Woche bekannt und in den einschlägigen Online-Medien breitgeschlagen wurde, ist nun mit einem Patch ausserhalb der Reihe behoben worden. Bei dieser Sicherheitslücke handelt es sich um eine Zero-Day-Lücke. Sie wurde bereits aktiv ausgenutzt, so war Oracle definitiv im Zugzwang für einen Patch. Durch diese Sicherheitslücke kann unbemerkt Schadcode auf das System gelangen und ausgeführt werden. Entsprechender Schadcode war bereits in den bekannten Exploit-Kits verfügbar.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI hat Nutzer gar dazu aufgerufen, Java komplett zu deinstallieren, bis eine gepatchte Version zur Verfügung steht. Viele Browser-Hersteller, so Mozilla, Google und Apple (jeweils mit Firefox, Chrome und Safari) haben mit einem Patch ihrer Browser das Java-Plugin innerhalb des Browsers deaktiviert, um so eine erste Schadensbegrenzung zu machen.

Java-Update

Die neue Version Java 7 Update 11 steht ab sofort zum Download zur Verfügung: http://www.java.com/de/download/manual.jsp

Mit der neuen Version wird nicht nur diese Sicherheitslücke gestopft. Das Standard-Sicherheitslevel von Java von “Medium” auf “Hoch” angehoben, So werden Anwender jedes Mal beim Ausführen eines nicht signierten Applets eine entsprechende Warnung erhalten und über das mögliche Sicherheitsrisiko von nicht signierten Applets informiert. Das dürfte zukünftige Angriffe erschweren, da bösartige Applets in der Regel kaum signiert sind.

Ich empfehle euch dringendst, nicht nur Java zu aktualisieren, sondern auch euer System durch regelmässige System- und Software Updates (Windows-Updates, Office-Updates, weitere Software, Antiviren-Programm etc.) immer auf dem aktuellsten Stand zu halten.