Das Update 7 für Java 7 sorgt für neue Sicherheitsprobleme.
Das Update 7 für Java 7 sorgt für neue Sicherheitsprobleme. (Bild: Oracle)

Java 7 Update 7 Update öffnet neue kritische Sicherheitslücke

Das von Oracle verteilte Java 7 Update 7, das eine kritische Sicherheitslücke schließen sollte, enthält einen weiteren Fehler, der ebenso gefährlich ist. Anwender sollten deshalb selbst nach dem Einspielen des Updates die Java-Plugins im Browser deaktivieren.

Anzeige

Das seit dem Abend vom 30. August 2012 verteilte Update 7 für Java 7 öffnet eine Sicherheitslücke (CVE-2012-4681), über die ein Angreifer Code auf den betroffenen Rechner einschleusen und übernehmen können soll. Eigentlich sollte die Aktualisierung eine ebenso gefährliche Lücke schließen, die seit vergangener Woche aktiv genutzt wird. Der neue Fehler kann ebenfalls über den Besuch einer präparierten Webseite ausgenutzt werden. Anwender sollten deshalb Java-Plugins in sämtlichen Browsern deaktivieren oder ausgeschaltet lassen.

Oracle hatte am Donnerstagabend außerplanmäßig einen Patch für die erste kritische Sicherheitslücke veröffentlicht. Zunächst wollten die Entwickler bei Oracle damit auf das für Oktober 2012 geplante reguläre Update warten. Sie sahen sich aber offenbar unter Zugzwang, nachdem nicht nur der Fehler veröffentlicht wurde, sondern auch bekanntgeworden war, dass Oracle bereits seit April 2012 davon wusste.

Patches nur mit regulären Updates

Damals hatte das polnische Sicherheitsunternehmen Security Explorations mehrere Fehler gefunden und mit Beispielcode (Proof-of-Concepts) an Oracle geschickt. Die Entwickler dort versprachen, die Fehler nach und nach zu korrigieren und in den regulären Updates zu veröffentlichen, die dreimal im Jahr erscheinen. Das Sicherheitsunternehmen hat auch die neue Lücke im Update 7 entdeckt. Sie kann in Kombination mit weiteren noch offenen Lücken ausgenutzt werden.

Mit beiden Fehlern kann die Sandbox-Funktion in Java umgangen und damit Code auf dem Rechner eines Opfers ausgeführt werden, der ungehindert auf das System zugreifen kann. Der Code lässt sich beispielsweise in einem Java-Applet unterbringen. Das wird dann auf einer maliziösen Webseite eingebettet.

Oracle hatte kurz nach der Veröffentlichung des Updates 7 für Java 7 über Twitter noch Entwarnung gegeben: Es gebe keinen Grund, Java in Browsern zu deaktivieren, hieß es damals.


Hamu-Sumo 03. Sep 2012

Der Artikel scheint zumindest einen Fehler zu haben: Die Verlinkung zum CVE ist falsch...

Lala Satalin... 03. Sep 2012

Halten Sie Ausschau nach ein Plugin für den IE oder dem Firefox, welches das Plugin Java...

teleborian 03. Sep 2012

Gibt es alternative Java um Java Webseiten nutzen zu können? (Win7) (kt)

tr.koch 03. Sep 2012

http://arstechnica.com/security/2012/08/critical-bug-discovered-in-newest-java/

0xDEADC0DE 03. Sep 2012

Ich bin mir nicht ganz sicher, aber ich befürchte eines der letzten 6er Update hat die...

Kommentieren



Anzeige

  1. (Senior) Manager Business Services (m/w) - Energy
    Bosch Software Innovations GmbH, Berlin
  2. Supportmitarbeiter (m/w)
    ekz.bibliotheksservice GmbH, Reutlingen bei Stuttgart / Tübingen
  3. Projektleiter IT-Prozesse Infor (m/w)
    Instrument Systems GmbH über beratungsgruppe wirth + partner, München
  4. Softwareentwickler für Embedded / USB (m/w)
    AVM GmbH, Berlin

 

Detailsuche


Hardware-Angebote
  1. Dell 24-Zoll-Ultra-HD-Monitor
    ab 378,99€
  2. Medion Erazer X7835 PCGH-Notebook mit Geforce GTX 980M und Core i7-4710MQ
    1999,00€
  3. PCGH-Supreme-PC GTX980-Edition
    (Core i7-4790K + Geforce GTX 980)

 

Weitere Angebote


Folgen Sie uns
       


  1. Patentanmeldung

    Apples Smart Cover soll wirklich schlau werden

  2. OS X

    Apple will Thunderstrike-Exploits mit Patch verhindern

  3. Soziales Netzwerk

    Justizministerium kritisiert Facebooks neue AGB

  4. Raumfahrt

    Nasa will Mars-Rover mit Helikopter ausstatten

  5. Windows Phone und Tablets

    Die Dropbox-App ist da

  6. Sony Alpha 7 II im Test

    Fast ins Schwarze getroffen

  7. Apple

    Homekit will nicht in jedes Smart Home einziehen

  8. Firmware

    Update für Samsungs NX1 verbessert Videofunktionen enorm

  9. Systemkamera

    Olympus kündigt neues Modell im OM-D-System an

  10. Lieferprobleme

    Drogendrohnen in Mexiko und Norddeutschland abgestürzt



Haben wir etwas übersehen?

E-Mail an news@golem.de



IMHO: Juhu, DirectX 12 gibt's auch für Windows-7-Besitzer
IMHO
Juhu, DirectX 12 gibt's auch für Windows-7-Besitzer
  1. Benchmark-Beta DirectX 12 und Mantle gleich schnell in 3DMark
  2. Grafikschnittstelle AMD zieht Aussage zu DirectX 12 zurück
  3. Grafikschnittstelle Kein DirectX 12 für Windows 7

Samsung Gear VR im Test: Ich liebe das umschnallbare Heimkino!
Samsung Gear VR im Test
Ich liebe das umschnallbare Heimkino!
  1. Für 200 US-Dollar verfügbar Samsungs Gear VR ist nicht für Radfahrer geeignet
  2. Innovator Edition Gear VR wird Anfang Dezember 2014 in den USA ausgeliefert
  3. Project Beyond Frisbee-Kamera für Samsungs Gear VR

Asus Eeebook X205TA im Test: Die gelungene Rückkehr des Netbooks
Asus Eeebook X205TA im Test
Die gelungene Rückkehr des Netbooks

    •  / 
    Zum Artikel