Das Update 7 für Java 7 sorgt für neue Sicherheitsprobleme.
Das Update 7 für Java 7 sorgt für neue Sicherheitsprobleme. (Bild: Oracle)

Java 7 Update 7 Update öffnet neue kritische Sicherheitslücke

Das von Oracle verteilte Java 7 Update 7, das eine kritische Sicherheitslücke schließen sollte, enthält einen weiteren Fehler, der ebenso gefährlich ist. Anwender sollten deshalb selbst nach dem Einspielen des Updates die Java-Plugins im Browser deaktivieren.

Anzeige

Das seit dem Abend vom 30. August 2012 verteilte Update 7 für Java 7 öffnet eine Sicherheitslücke (CVE-2012-4681), über die ein Angreifer Code auf den betroffenen Rechner einschleusen und übernehmen können soll. Eigentlich sollte die Aktualisierung eine ebenso gefährliche Lücke schließen, die seit vergangener Woche aktiv genutzt wird. Der neue Fehler kann ebenfalls über den Besuch einer präparierten Webseite ausgenutzt werden. Anwender sollten deshalb Java-Plugins in sämtlichen Browsern deaktivieren oder ausgeschaltet lassen.

Oracle hatte am Donnerstagabend außerplanmäßig einen Patch für die erste kritische Sicherheitslücke veröffentlicht. Zunächst wollten die Entwickler bei Oracle damit auf das für Oktober 2012 geplante reguläre Update warten. Sie sahen sich aber offenbar unter Zugzwang, nachdem nicht nur der Fehler veröffentlicht wurde, sondern auch bekanntgeworden war, dass Oracle bereits seit April 2012 davon wusste.

Patches nur mit regulären Updates

Damals hatte das polnische Sicherheitsunternehmen Security Explorations mehrere Fehler gefunden und mit Beispielcode (Proof-of-Concepts) an Oracle geschickt. Die Entwickler dort versprachen, die Fehler nach und nach zu korrigieren und in den regulären Updates zu veröffentlichen, die dreimal im Jahr erscheinen. Das Sicherheitsunternehmen hat auch die neue Lücke im Update 7 entdeckt. Sie kann in Kombination mit weiteren noch offenen Lücken ausgenutzt werden.

Mit beiden Fehlern kann die Sandbox-Funktion in Java umgangen und damit Code auf dem Rechner eines Opfers ausgeführt werden, der ungehindert auf das System zugreifen kann. Der Code lässt sich beispielsweise in einem Java-Applet unterbringen. Das wird dann auf einer maliziösen Webseite eingebettet.

Oracle hatte kurz nach der Veröffentlichung des Updates 7 für Java 7 über Twitter noch Entwarnung gegeben: Es gebe keinen Grund, Java in Browsern zu deaktivieren, hieß es damals.


Hamu-Sumo 03. Sep 2012

Der Artikel scheint zumindest einen Fehler zu haben: Die Verlinkung zum CVE ist falsch...

Lala Satalin... 03. Sep 2012

Halten Sie Ausschau nach ein Plugin für den IE oder dem Firefox, welches das Plugin Java...

teleborian 03. Sep 2012

Gibt es alternative Java um Java Webseiten nutzen zu können? (Win7) (kt)

tr.koch 03. Sep 2012

http://arstechnica.com/security/2012/08/critical-bug-discovered-in-newest-java/

0xDEADC0DE 03. Sep 2012

Ich bin mir nicht ganz sicher, aber ich befürchte eines der letzten 6er Update hat die...

Kommentieren



Anzeige

  1. Berater IP Netze mit Fokus Unified Communication (m/w)
    IABG Industrieanlagen-Betriebsgesellschaft mbH, Dresden oder Berlin
  2. Leiterin / Leiter des Fachbereichs Standard-Arbeitsplatz Service
    ITDZ Berlin, Berlin
  3. Mitarbeiter Third-Level-Support & Software Development (m/w)
    epay, Martinsried bei München
  4. Systemarchitekt/-in
    Robert Bosch GmbH, Schwieberdingen

 

Detailsuche


Folgen Sie uns
       


  1. Hdmyboy

    HDMI-Ausgang für den ersten grauen Gameboy

  2. Merkel-Handy

    NSA-Ausschuss kritisiert Stopp von Ermittlungen

  3. Unitymedia

    Liberty Global schafft Marke KabelBW ab

  4. NSA-Ausschuss

    BND trickst bei Auslandsüberwachung in Deutschland

  5. IT-Anwalt

    "Facebook geht bei neuen AGB illegal vor"

  6. Erbgut

    DNA überlebt Ausflug ins All

  7. Windows-Nachbau

    ReactOS bekommt neuen Explorer

  8. Bundesgerichtshof

    Kopierschutzmaßnamen für Konsolen sind zulässig

  9. Linshof i8

    Achteck-Smartphone mit Übertaktung und Turbo-Speicher

  10. Media Player

    Windows 10 unterstützt FLAC für verlustfreie Musik



Haben wir etwas übersehen?

E-Mail an news@golem.de



Panasonic Lumix DMC-LX100 im Test: Kamera zum Begeistern und zum Verzweifeln
Panasonic Lumix DMC-LX100 im Test
Kamera zum Begeistern und zum Verzweifeln
  1. Systemkamera Sony Alpha 7 II mit 5-Achsen-Bildstabilisierung
  2. Canon PowerShot G7 X im Test Canons Konkurrenz zu Sonys 1-Zoll-Kamera
  3. Interne Dokumente Neuer Sony-Sensor könnte Kameras kraftvoller machen

Crowdfunding für Games: Der Goldrausch auf Kickstarter ist vorbei
Crowdfunding für Games
Der Goldrausch auf Kickstarter ist vorbei
  1. Pono Neil Youngs Highres-Player kommt auch ohne Kickstarter
  2. The Flame in the Flood Reise am prozedural generierten Fluss
  3. Jolt Schnurloses Laden für die Gopro

Zbox Pico im Test: Der Taschenrechner, der fast alles kann
Zbox Pico im Test
Der Taschenrechner, der fast alles kann

    •  / 
    Zum Artikel