Apple stopft vier kritische Löcher in Java 6 für Mac OS X

Apple hat ein Sicherheitsupdate für Java 6 veröffentlicht. Es steht für Mac OS X 10.6 Snow Leopard, 10.7 Lion und 10.8 Mountain Lion zur Verfügung. Der Patch stopft vier als „kritisch“ eingestufte Löcher in Java 6, die Oracle schon in der vergangenen Woche beseitigt hat.

Da Apple für die Aktualisierung von Java 6 verantwortlich ist, mussten Nutzer von OS X warten, bis das Unternehmen aus Cupertino ein Update herausgibt. Ab Java 7 ist Oracle für die Mac-OS-Updates zuständig. Ein entsprechendes Update wurde letzte Woche bereitgestellt. Allerdings liegt Java 7 unter Mac OS nur als 64-Bit-Version vor, sodass 32-Bit-Browser wie Google Chrome noch auf die ältere Version zurückgreifen.

Zudem wurde auch in diesem eine Sicherheitslücke entdeckt, die Angreifer für das Einschleusen und Ausführen von Schadcode missbrauchen können. Das polnische Sicherheitsunternehmen Security Explorations hatte den Fehler nur wenige Stunden nach Bereitstellung des Updates entdeckt.

Drei der vier mit dem jetzt bereitgestellten Patch behobenen Fehler stecken in der Java-Komponente Beans. Sie lassen sich Oracle zufolge durch nicht vertrauenswürdige Java-Web-Start-Applikationen sowie Java-Applets ausnutzen. Das von ihnen ausgehende Risiko stuft Oracle als “kritisch” ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind sie mit 10.0 bewertet.

Für Nutzer von Mac OS X 10.6. Snow Leopard hat Apple ein separates, 81,9 MByte großes Update freigegeben, das Java SE 6 auf die Version 1.6.0_35 aktualisiert. Für Mac OS X 10.7 und 10.8 steht „Java für OS X 2012-005“ zum Download bereit. Das Update ist 67,2 MByte groß.

Da die neue Version schon öffentlich bekannte Sicherheitslücken schließt, sollten Nutzer, die Java installiert haben, den Patch so schnell wie möglich einspielen. Apple verteilt ihn über die Update-Funktion seines Betriebssystems. Er lässt sich auch von der Apple-Website herunterladen.

[mit Material von Topher Kessler, News.com]