Kritische Sicherheitslücke: Java-Lücke war Oracle längst bekannt
Das Sicherheitsunternehmen Security Explorations(öffnet im neuen Fenster) hat nach eigenen Angaben Oracle bereits im April 2012 über die Sicherheitslücke informiert, die jetzt aktiv genutzt wird und immer noch offen ist. Von insgesamt 31 Sicherheitslücken, über die die Entwickler bei Security Explorations sowohl Oracle als auch Apple eine Mitteilung gemacht haben, sind noch immer sechs offen.
Das letzte reguläre Java-Update vom 12. Juni enthält den Patch für die aktuelle kritische Sicherheitslücke noch nicht. Oracle veröffentlicht dreimal im Jahr Updates für Java. Das nächste Update soll demnach am 16. Oktober verteilt werden. Im April hatte Oracle den Sicherheitsexperten mitgeteilt, es werde sie solange monatlich über den Status der Fehlerbehebungen informieren, bis alle Fehler beseitigt seien.
Silent Updates von Apple
Security Explorations hat ein Protokoll seiner Mitteilungen(öffnet im neuen Fenster) an Oracle und Apple auf seiner Webseite veröffentlicht. Sie offenbaren, dass Apple recht zügig auf Sicherheitsproblem reagiert und sie meist als "Silent Updates" verteilt und wenig über solche Fehler preisgibt.
Oracle hat Security Explorations ab April monatlich oder auf Anfrage über den Status der mitgeteilten Fehler informiert. Bis Ende Mai wurden demnach zwei Fehler beseitigt. Die vorhandenen 29 Fehler würden noch geprüft oder repariert, schrieb Oracle am 11. Juni. Im Update vom Juni sollen vier Fehler beseitigt worden sein, schrieb Oracle später an Security Explorations. Das Unternehmen hakte nach und Oracle korrigiert die Zahl wieder auf zwei. Im letzten Statusbericht vom 23. August berichtet Oracle, seine Entwickler hätten 19 weitere Fehler korrigiert und die Patches würden in künftigen Updates verteilt werden. Sechs Fehler müssten noch bearbeitet werden und sollen dann im Update vom Februar 2013 gepatcht werden.
Java-Plugins deaktivieren
Oracle stellt die Korrekturen für die teils schwerwiegenden und möglicherweise bereits korrigierten Fehler nicht sofort als Updates zur Verfügung, sondern hält sich weiterhin strikt an seine bisherigen Update-Politik. Als Grund gibt Oracle an, dass Enterprise-Kunden zunächst genügend Zeit gegeben werden soll, um die Updates zu testen.
Vor wenigen Tage wurde bekannt , dass eine noch offene Sicherheitslücke in Java 7 aktiv genutzt wird, um Schadcode von präparierten Webseiten über Browser-Plugins auf einzuschleusen. Zunächst wurde gemeldet, dass das Problem nur auf Windows-Rechnern auftritt. Mittlerweile raten das Bundesamt für Sicherheit in der Informationstechnik und der Firefox-Hersteller Mozilla, Java-Plugins im Browser auf allen Betriebssystemen zu deaktivieren(öffnet im neuen Fenster) . Betroffen sind auch der Browser Opera, Googles Chrome-Browser(öffnet im neuen Fenster) und Safari(öffnet im neuen Fenster) .
Update vom 30. August 2012, um 15:00 Uhr
Inzwischen haben Entwickler den Fehler in Iced Tea 2.3.1 behoben(öffnet im neuen Fenster) . Iced Tea basiert auf OpenJDK7 u6. Korrigierte Versionen von Iced Tea 2.1 und 2.2 sollen in Kürze folgen.