Java: Oracle schließt 21 Sicherheitslöcher


    Tags: ,

    Java-LogoSage und schreibe 21 Sicherheitslöcher hat Oracle in Java geschlossen. Das Unternehmen, das durch die Übernahme von Sun Microsystems in den "Besitz" von Java kam, empfiehlt Nutzern der Software dringend, umgehend Update 24 der Version 6 von JRE (Runtime Environment) oder JSE (Standard Edition) einzuspielen. Patches stehen auch für das Java Development Kit (JDK) 5.0 Update 27 und SDK 1.4.2_29 bereit. Betroffen sind die Java-Versionen für Windows, Solaris und Linux. Von den 21 Lücken werden 19 als kritisch eingestuft. Sie erlauben es Angreifern, eigenen Code auf fremden Rechnern auszuführen und dadurch die Kontrolle über die Systeme zu erlangen.

    Genauere Angaben dazu, auf welche Weise sich die Schwachstellen ausnutzen lassen, machte Oracle nicht. Der Grund: Der Hersteller will vermeiden, dass sich Angreifer diese Daten zunutze machen. In Kreisen von Java-Entwicklern sind jedoch Informationen dazu aufgetaucht. So ist nach Angaben von Pete Freitag jeder Programmcode angreifbar, der Javas Floting-Point-Number-Parser verwendet. Als Beispiel führt Freitag in einem Beitrag in seinem Blog einen ColdFusion-Code an.

    Dass es in der Tat empfehlenswert ist, Java zu patchen, belegt die Tatsache, dass acht der Schwachstellen der Höchstwert von 10 im Common Vulnerability Scoring System (CVSS) 2.0 zugesprochen wurde. Windows-Systeme sind in stärkerem Maße gefährdet, weil auf solchen Rechnern Java in der Default-Einstellung mit Administrator-Rechten ausgeführt wird. Fehler weisen eine ganze Reihe von Java-Komponenten auf, darunter JDBC, 2D, Swing, XML Digital Signature und HotSpot. Details zu den Schwachstellen hat Oracle auf dieser Web-Seite veröffentlicht.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Bernd Reder

    Bernd Reder ist seit über 20 Jahren als Journalist zu den Themen IT, Netzwerke und Telekommunika­tion tätig. Zu seinen beruflichen Sta­tionen zählen unter anderem die Fachtitel "Elektronik" und "Gateway".Bei der Zeitschrift "Network World" war Reder als stellver­tretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
    // Kontakt: E-Mail, XING //

    Ähnliche Beiträge

    1 Kommentar

    Hey, eure Lücken-Sicherung begrüße ich sehr. Bitte, weiter so, denn dadurch macht es auch spaß mit oracle zusammen zu arbeiten. Es könnte sich so mancher eine Scheibe von Euch abschneiden. :-)

    ATI