Der
Software-Hersteller Oracle hat einen Notfall-Patch für die Windows-Versionen von Java 6, 7 und 8 veröffentlicht, der ein kritisches Sicherheitsloch bei der Installation der Anwendungen schließen soll. Obwohl es relativ unwahrscheinlich ist, dass ein Angreifer die Lücke ausnutzen kann, hat sich der Hersteller doch für die Publikation des Patches entschieden. Normalerweise hält sich Oracle an einen vierteljährlichen Rhythmus, um neue Security-Updates freizugeben.
Neue Lücke in Java: Ein Angreifer kann Schadcode über eine Sicherheitslücke im Java-Setup einschleusen.
So hat das Unternehmen erst vor zwei Wochen rund
248 Sicherheitsflicken veröffentlicht. Die nun gefundene Lücke setzt
nach Aussage von Oracle-Mitarbeiter Eric P. Maurice voraus, dass ein Anwender zunächst eine böswillige Webseite besucht und dort mehrere nicht näher genannte Dateien herunterlädt. Installiert er anschließend eine der noch ungepatchten Java-Versionen auf seinem System, dann kann der Angreifer noch während des Setups die Sicherheitslücke ausnutzen und vollen Zugriff zu dem Rechner erhalten.
Weil die Sicherheitslücke CVE-2016-0603 nur während der Installation besteht, sind Anwender, die Java bereits auf ihrem PC haben, nicht davon betroffen. Java-Setup-Dateien niedriger als 6u113, 7u97 und
8u73 sollten jedoch nicht mehr eingesetzt werden.
Ende Januar hatte Oracle angekündigt, das
Java-Browser-Plugin nicht mehr weiterentwickeln zu wollen. In zukünftigen Java-Versionen soll es gar nicht mehr enthalten sein.