Apple hat zwei Java-Updates für OS X 10.6, 10.7 und 10.8 veröffentlicht. Mit
Java for OS X 2013-001 für OS X 10.7 und 10.8 und
Java for Mac OS X 10.6 Update 12 ab OS X 10.6.8 wird die Java-6-Unterstützung auf Version 1.6.0_41 aktualisiert.
Laut der
Supportseite von Apple schließen die Updates unter anderem Sicherheitslücken in der Java-Sandbox. Über eine der Lücken sollen auch firmeninterne Maschinen von Apple erfolgreich angegriffen worden sein.
Apple weist darauf hin, dass Nutzer von Java 7 die Aktualisierungen auf
Version 1.7.0_15 direkt von Oracle erhalten.
Zeitgleich hat auch Oracle ein Java-Update zur Verfügung gestellt. Es schließt fünf weitere Sicherheitslücken, die der Notfallpatch Anfang Februar noch nicht berücksichtigen konnte. Eine Installation wird dringend empfohlen, da die aktuellen Java-Updates
laut Oracle unter anderem drei Sicherheitslücken mit der
höchstmöglichen Gefahrenstufe (10) stopfen.
Die besonders kritischen Sicherheitslücken CVE-2013-1487: Deployment; CVE-2013-1486: JMX und CVE-2013-1484: Libraries stecken in der Laufzeitumgebung und ermöglichen Angreifern aus der Ferne, Schadcode einzuschleusen und auszuführen, ohne dass sie dafür eine Authentifizierung benötigen. Dieselben Angriffsmöglichkeiten bieten auch die beiden anderen Sicherheitslücken. Allerdings stuften die Experten die Lücke mit der CVE-Nummer 2013-1485 nur mit 5.0 Risikopunkten ein und CVE-2013-0169, die als "Lucky 13" bekannt ist, gerade mal mit 4,3. Letztere betrifft SSL/TLS sowie die Java Secure Socket Extension (JSSE).
Für einige Sicherheitslücken sind seit längerem Exploits im Umlauf, die bereits aktiv für Angriffe genutzt werden. Deshalb ist es sinvoll, das Java-Update möglichst zeitnah durchzuführen. Die aktuellen Updates sind kumulativ und beziehen damit alle vorherigen Sicherheitsupdates mit ein. Für das aktuellste Java 7 steht Update 15
zum Herunterladen bereit und für Java 6 das Update 41. Allerdings sollten Nutzer Java 6 nur noch bis März verwenden, da Oracle die Software ab diesem Zeitpunkt nicht mehr unterstützt.