Oracle veröffentlicht Notfall-Patch für Java SE

Oracle hat ein außerplanmäßiges Update für Java SE veröffentlicht. Es soll eine als kritisch eingestufte Sicherheitslücke schließen. Sie lässt sich nach Angaben des Unternehmens aus der Ferne und ohne Authentifizierung ausnutzen, um Schadcode einzuschleusen und auszuführen. Ein Angreifer muss sein Opfer dafür lediglich auf eine speziell präparierte Website locken.

Betroffen sind Java SE 7 Update 97 und früher sowie Java 8 Update 73 und 74 für Windows, Mac OS X, Linux und Solaris. Da die technischen Details der Schwachstelle laut Oracle bereits veröffentlicht wurden, rät das Unternehmen allen Nutzern dringend, das Update schnellstmöglich zu installieren.

Im zehn Punkte umfassenden Common Vulnerability Scoring System (CVSS) ist die Schwachstelle mit 9,3 Punkten bewertet. „Ein erfolgreicher Angriff auf die Lücke kann zu einer nicht autorisierten Übernahme des Betriebssystems führen, inklusive des Ausführens von Schadcode“, schreibt Oracle in einem Advisory.

Oracle verteilt die fehlerbereinigte Version Java SE 8 Update 77 über die automatische Updatefunktion der Laufzeitumgebung. Sie kann aber auch manuell von der Oracle-Website heruntergeladen werden. Dort finden sich ebenfalls die aktuellen Versionen des Java Development Kit und der Server Java Runtime Environment. Updates für Java SE 7 stellt Oracle nur noch Kunden zur Verfügung, die Java-Support erworben haben.

Es ist bereits das zweite Mal in diesem Jahr, dass Oracle seine Java-Software außerplanmäßig aktualisiert. Anfang Februar beseitigte es ebenfalls eine als kritisch eingestufte Schwachstelle, die es einem Angreifer erlaubte, die vollständige Kontrolle über ein betroffenes System zu übernehmen. Regulär stopft Oracle viermal im Jahr Löcher in seiner Software. Das nächste Update ist für den 19. April geplant.