Oracle gibt Notreparatur für Java-Zero-Day-Exploit frei

Oracle hat am Montag Notfall-Patches für Java veröffentlicht, um zwei kritische Schwachstellen zu beheben, von denen eine von Hackern bei gezielten Angriffen aktiv ausgenutzt wird.

Die Sicherheitslücken werden als CVE- 2013-1493 und CVE-2013-0809 befinden sich in der 2D-Komponente von Java und haben den höchstmöglichen Impact-Score von Oracle erhalten.

"Diese Sicherheitslücken können ohne Authentifizierung aus der Ferne ausgenutzt werden, dh sie können über ein Netzwerk ausgenutzt werden ohne die Notwendigkeit eines Benutzernamens und eines Passworts ", sagte das Unternehmen in einer Sicherheitswarnung. "Damit ein Exploit erfolgreich ist, muss ein ahnungsloser Benutzer, der eine betroffene Version in einem Browser ausführt, eine schädliche Webseite aufrufen, die diese Sicherheitsanfälligkeiten nutzt. Erfolgreiche Exploits können sich auf die Verfügbarkeit, Integrität und Vertraulichkeit des Systems des Benutzers auswirken. "

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die neu veröffentlichten Updates führen Java auf Version 7 Update 17 (7u17) und 6 Update 43 (6u43), überspringen aus Gründen, die nicht sofort klar waren, über 7u16 und 6u42.

Oracle stellt fest, dass Java 6u43 das letzte öffentlich verfügbare Update für Java 6 sein wird und rät Benutzern zum Upgrade auf Java 7 Die öffentliche Verfügbarkeit von Java 6-Updates sollte mit Java 6 Update 41 enden, das am 19. Februar veröffentlicht wurde, aber es scheint, dass das Unternehmen eine Ausnahme für diesen Notfall-Patch gemacht hat.

Die Schwachstelle CVE-2013-1493 wurde aktiv von Angreifer seit mindestens letzten Donnerstag, als die Forscher des Sicherheitsunternehmens FireEye Angriffe entdeckt haben, mit denen sie eine Malware namens McRAT installieren konnten. Es scheint jedoch, dass Oracle die Existenz dieses Fehlers seit Anfang Februar gewusst hat.

"Obwohl kürzlich Berichte über die aktive Ausnutzung der Schwachstelle CVE-2013-1493 eingegangen sind, wurde dieser Fehler ursprünglich am 1. Februar 2013 an Oracle gemeldet. Leider zu spät, um in der Veröffentlichung des Critical Patch Update für Java SE vom 19. Februar aufgenommen zu werden ", sagte Eric Maurice, Oracle Director von Software Assurance, in einem Blog-Post Montag.

Das Unternehmen hatte geplant, CVE-2013- 1493 im nächsten geplanten Java Critical Patch Update am 16. April, sagte Maurice. Da die Sicherheitslücke jedoch von Angreifern ausgenutzt wurde, entschied sich Oracle, einen Patch früher zu veröffentlichen.

Die beiden mit den neuesten Updates behobenen Schwachstellen haben keine Auswirkungen auf Java, das auf Servern, eigenständigen Java-Desktop-Anwendungen oder eingebetteten Java-Anwendungen ausgeführt wird Sagte Maurice. Benutzer sollten die Patches so schnell wie möglich installieren, sagte er.

Benutzer können die Unterstützung für webbasierten Java-Inhalt über die Registerkarte Sicherheit im Java-Steuerungsfeld deaktivieren, wenn sie Java im Web nicht benötigen. Die Sicherheitseinstellungen für solche Inhalte sind standardmäßig auf hoch eingestellt, was bedeutet, dass Benutzer aufgefordert werden, die Ausführung von Java-Applets, die in Browsern nicht signiert oder selbst signiert sind, zu autorisieren.

Dies soll verhindern, dass Java-Schwachstellen automatisch ausgenutzt werden Web, funktioniert aber nur, wenn Benutzer in der Lage sind, fundierte Entscheidungen darüber zu treffen, welche Applets zu autorisieren sind und welche nicht. "Um sich selbst zu schützen, sollten Desktop-Benutzer die Ausführung von Applets nur erlauben, wenn sie solche Applets erwarten und ihrer Herkunft vertrauen", sagte Maurice.