Oracle bringt Update für Java 6 und 7

Eine der jetzt geschlossenen Java-Sicherheitslücken wird bereits von Kriminellen aktiv ausgenutzt. Anfällig sind alle Browser und Betriebssysteme. Nach Angaben des Bundesamt für Sicherheit in der Informationstechnik (BSI) gelang es über die Schwachstelle beispielsweise die Banking-Trojaner "Citadel" und "Hermes" einzuschleusen. Vor diesen Trojanern wurden viele Anwender wahrscheinlich durch die installierte Antiviren-Software geschützt. Eine Infektion mit bisher unbekannter Schadsoftware hätten viele Virenscanner jedoch zumindest bis zum 30. August 2012 nicht verhindern können. Bei einer Analyse des Testlabors AV-Comparatives im Auftrag von heise Security konnten nur 9 von 22 Schutzprogrammen einen Angriff blockieren. Daher war es bisher ratsam, Java ganz zu deinstallieren oder wenigstens das Java-Plug-in im Browser zu deaktivieren.

Dass die Bedrohungen nicht nur theoretisch vorhanden sind, stellten auch die Sicherheitsexperten von G Data fest. Sie entdeckten mehrere Webseiten, die Besucher mit dem gefährlichen Java-Exploit angreifen - darunter die Internetseite eines albanischen TV-Senders. Die Täter hatten sich offenbar Zugang zum Server verschafft und Java-Code eingeschleust. Ziel war es, die Computer der Besucher zu infizieren, in ein Botnetz einzubinden und für Spam-E-Mails oder DDoS-Attacken zu missbrauchen.

Java 7 Update 7 beseitigt insgesamt drei Sicherheitslücken, die es Angreifern ermöglichen, Schadcode auf dem Rechner unterzubringen. Eine weitere Lücke ist selbst nicht direkt ausnutzbar und wird daher auf der Risikoskala mit „0.0“ bewertet. Dieser Fehler betrifft auch Java 6 Update 34 und älter.

Das Java-Update wird automatisch eingeleitet, wenn der Benutzer die Autoupdate-Funktion aktiviert hat. Die neue Version steht auch im Downloadbereich des Herstellers bereit. Bei der Installation versucht Oracle in einigen Fällen eine Browser-Toolbar zu installieren. Wenn Sie das nicht wünschen, entfernen Sie das Häkchen vor der Option.

Update 01.09.2012: Nach Analysen des Sicherheitsexperten Adam Gowdiak ist auch Java 7 Update 7 weiter angreifbar. Weitere Infos finden Sie im Artikel Immer noch gefährliche Lücken in Java.