Java 7 SE Update 17: Der nächste Notfallpatch für Java
Nachdem Ende vergangener Woche eine weitere Sicherheitslücke in Java bekanntwurde, die von Angreifern bereits aktiv ausgenutzt wird, hat Oracle jetzt eine korrigierte Java-Version veröffentlicht. Das wirkt, als hätte Oracle binnen weniger Tage auf das Problem reagiert, doch die Wahrheit ist: Oracle wurde nach eigenen Angaben(öffnet im neuen Fenster) bereits am 1. Februar 2013 über die Sicherheitslücken informiert. Das aber war zu spät, um die Korrekturen in das am 19. Februar 2013 veröffentlichte Sicherheitsupdate für Java aufzunehmen.
Betroffen von den Sicherheitslücken sind Java 7 bis einschließlich Update 15, Java 6 bis einschließlich Update 41 und Java 5 bis einschließlich Update 40. Nur für Java 7 stellt Oracle mit Java 7 Update 17(öffnet im neuen Fenster) eine Korrektur zur Verfügung.
Java 7 Update 17 schließt zwei Sicherheitslücken ( CVE-2013-1493 und CVE-2013-0809(öffnet im neuen Fenster) ), die beide in der 2D-Komponente von Java SE stecken und nur Nutzer gefährden, die Java im Browser nutzen. Eigenständige Java-Applikationen sind nicht betroffen.
Eigentlich hatte Oracle geplant, die Korrektur für CVE-2013-1493 erst mit dem kommenden Critical Patch Update für Java SE auszuliefern, das am 16. April veröffentlicht werden soll. Nachdem die Sicherheitslücke aber bereits aktiv ausgenutzt wird, entschied sich Oracle zur Veröffentlichung des aktuellen Notfall-Updates. Oracle will damit auch deutlich machen, dass das Unternehmen gewillt ist, Sicherheitsupdates für Java früher zu veröffentlichen als in der Vergangenheit.
Oracle rät allen Java-Nutzern, das Update möglichst umgehend einzuspielen.
Nachtrag vom 5. März 2013, 11:25 Uhr
Trotz des Updates gibt es laut dem polnischen Sicherheitsspezialisten Adam Gowdiak(öffnet im neuen Fenster) weitere unveröffentlichte Sicherheitslücken in Java, die Oracle bekannt sind, in Java 7 Update 17 aber nicht korrigiert wurden.