Oracle hat die Java Zero-Day-Exploits behoben

Nach der immensen Medienwirkung als Folge des Bekanntwerdens der Schwachstellen im Java v7 Update 10 haben viele nationale und internationale Organisationen ihren Lesern die Deinstallation von Java empfohlen (BSI in Deutschland, US-Cert). Natürlich kann Oracle diesen Verlust der Marktanteile nicht einfach hinnehmen und hat daher vergangenes Wochenende mit einer Fehlerbehebung begonnen, die nun für jedermann verfügbar ist.

Bitte ersetzt eure Java-Installation durch die neueste Java-Version 7, Update 11.

Diese Veröffentlichung beinhaltet Fehlerbehebungen der bekannten Sicherheitslücke, über die wir bereits schriftlich informiert haben. Oracle hat dazu ebenfalls eine Mitteilung verfasst: Oracle Sicherheitswarnung für CVE-2013-0422.

Zu den behobenen Problemen zählen auch folgende:

  • Die Standardsicherheitseinstellungen wurden geändert in „Hoch“
  • Das Java-Bedienfeld weist keinen Schieberegler für die Sicherheitsstufe auf
  • Probleme bei der Registrierung von Plugins auf Systemen, bei denen eine Stand-alone-Version von JavaFX installiert ist

Noch ist nicht gewiss, ob diese Fehlerbehebungen etwas mit CVE-2013-0422 zu tun haben, doch die Beschreibung von Oracle scheint sich zumindest auf die Behebung der ersten Schwachstelle zu beziehen.

Die Sicherheits-Baseline für die Java Runtime-Umgebung (JRE) zum Zeitpunkt der Veröffentlichung von JDK 7 Update 11 wird in der untenstehenden Tabelle dargestellt:

JRE Family Version JRE Security Baseline
(Full Version String)
7 1.7.0_11
6 1.6.0_37
5.0 1.5.0_38
1.4.2 1.4.2_40

 

Solltet ihr mit Java 6 arbeiten, findet ihr hier weitere Informationen bezüglich einer Aktualisierung.

Wir empfehlen dringend, wenn möglich jede ältere Java-Version zu deinstallieren und nur die allerneueste Version zu installieren.

Sind wir damit am Ende der Eskalation? Nein, bei Weitem noch nicht.

Wir haben gesehen, dass Oracle in der Lage ist, schnell und unter hohem internationalen Druck zu reagieren. Das ist natürlich sehr gut, aber wer sich mit Softwareentwicklung auskennt, weiß, dass die Entwicklung von kritischer Software unter Druck weitere Folgeerscheinungen haben kann: weitere Programmfehler.

Daher empfehlen wir weiterhin, Java deaktiviert zu lassen, falls ihr es nicht zwingend benötigt. Zieht beispielsweise als Alternative in Betracht, einen Browser mit aktiviertem Java zur Verwendung der von euch benötigten Java-basierten Anwendungen zu nutzen und einen anderen Browser ohne Java für den täglichen Gebrauch einzusetzen.

Nach Durchführung der Installation könnt ihr die Java-Version auf dieser Seite überprüfen.

 

Sorin Mustaca

IT Sicherheitsexperte