Schwere Lücke: Notfall-Patch für Windows-Versionen von Java

Komplexes Vorgehen vonnöten

Der Bug mit dem Code CVE-2016-0603 ist ein recht komplexer, Oracle schreibt in einem Blogbeitrag (via The Register), dass es zu dieser Schwachstelle kommt bzw. diese ausgenutzt werden kann, wenn man Java 6, 7 oder 8 auf einer Windows-Plattform installiert.

Allerdings kommt es dazu nicht ohne weiteres, denn für ein erfolgreiches Ausnutzen muss das Opfer zunächst auf eine kompromittierte Webseite gelockt werden, dort müssen überdies manipulierte Dateien herunterladen werden. Wenn das aber gelingt, dann kann eine komplette Übernahme des Nutzer-Systems erfolgen. Oracle betont aber explizit, dass ein derartiger Exploit eben eine "relativ komplexe Angelegenheit" sei.

Veraltete Versionen betroffen

Wer eine aktuelle Version von Java hat, der muss nichts unternehmen. Wer eine ältere Java-Ausgabe (älter als 6u113, 7u79 oder 8u73) heruntergeladen hat, der sollte diese mit einer der zuvor genannten (oder höheren) Versionen ersetzen. Oracle hat die Lücke mit einem CVSS Base Score von 7.6 Punkten bewertet, das Maximum liegt hier bei 10.

Weitere Details zu dieser Schwachstelle nennt Oracle nicht, im Oracle Security Alert mit der Nummer CVE-2016-0603 erinnert man Java SE-Heim-Nutzer, dass diese ausschließlich Java.com besuchen sollten, um Java-Downloads zu beziehen, da man bei dubiosen Quellen Manipulationen nicht ausschließen kann. Anmerkung: Auch bei uns gibt es die entsprechenden Dateien, allerdings hosten wir ausschließlich die Originale von Oracle.

Download Java Runtime Environment (JRE) 7 Update 79 Download Java Runtime Environment (JRE) 8 Update 73 Siehe auch: Aus und vorbei - Das Java-Plugin für Browser geht in den Ruhestand