Oracle hat ein Sicherheitsupdate für Java SE veröffentlicht, das insgesamt 25 Sicherheitslöcher stopft. Darunter ist auch eine Anfälligkeit, die laut Trend Micro schon seit Juli bekannt ist und von Hackern im Rahmen der Operation Pawn Storm unter anderem für Angriffe auf die NATO und die US-Regierung benutzt wurde.
Die Schwachstelle mit der Kennung CVE-2015-4902 erlaubt es einem Eintrag im Trend-Micro-Blog zufolge, die Sicherheitsfunktion Click-to-Play zu umgehen. Dadurch erscheint ein Dialog nicht, der Nutzer normalerweise fragt, ob eine Java-Anwendung ausgeführt werden soll oder nicht. Das Verfahren selbst, mit dem die Abfrage deaktiviert wird, bezeichnet Trend Micro als „genial“.
Ohne Click-to-Play sei es möglich, Java-Applets oder Java-Web-Start-Anwendungen ohne Wissen des Nutzers auszuführen, so Trend Micro weiter. In Verbindung mit einer weiteren Sicherheitslücke erlaube der Fehler Drive-by-Downloads, also das Einschleusen von Schadcode ohne Interaktion mit einem Nutzer.
Der Fall zeige auch, wie wichtig es sei, neue Sicherheitsfunktionen eines so komplexen Systems wie Java genau zu prüfen, ergänzte Trend Micro. Nur so könne sichergestellt werden, dass vorhandene „gute“ Funktionen nicht kompromittiert würden.
MobileIron: Sichere Verwaltung von Android-Geräten
In vielen Unternehmen nutzen Mitarbeiter ihre privaten mobilen Geräte. Unternehmen, die dieser Szenario erlauben, sollten sich Gedanken über eine leistungsfähige Enterprise Mobility Management Suite machen. Nur damit lassen sich Unternehmensdaten gegen nicht autorisierten Zugriff absichern.
24 der jetzt 25 beseitigten Anfälligkeiten lassen sich Oracle zufolge aus der Ferne und ohne Authentifizierung ausnutzen. Vier Lücken weisen die höchste Risikobewertung 10 von 10 auf und eine weitere einen Basiswert von 9,3.
Betroffenen Nutzern empfiehlt Oracle, die neueste Version der Java-Software von seiner Website herunterzuladen. Nutzer von Java 8 sollten auf das Update 65 umsteigen, das für Windows, Mac OS X, Solaris und Linux zur Verfügung steht. Ein Update für Java 7 erhalten nur Kunden, die Java-Support erworben haben oder ein Oracle-Produkt verwenden, das Java 7 erfordert.
Darüber hinaus hat Oracle an seinem Oktober-Patchday auch Updates für Produkte wie Datenbanken, Fusion Middleware, Hyperion, Enterprise Manager, PeopleSoft Enterprise, Siebel CRM und MySQL veröffentlicht. In ihnen stecken weitere 129 Schwachstellen, die Oracle zum Teil ebenfalls als kritisch einstuft.
Neueste Kommentare
Noch keine Kommentare zu Oracle schließt Zero-Day-Lücke in Java SE
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.