Oracle stürzt ein weiteres Java-Update ab und behebt 50 Sicherheitslücken

Nach den Enthüllungen von Sicherheitsforschern über Sicherheitslücken in der letzten Java-Version, die im Januar veröffentlicht wurde, hat Oracle einen weiteren Fixpack für die Programmiersprache veröffentlicht.

Das neueste Update, das ursprünglich für Februar geplant ist 19 enthält 50 Sicherheitsupdates für 49 Fehler, die ohne Genehmigung aus der Ferne ausgenutzt werden konnten. Das bedeutet, dass sie in einem Netzwerk ohne die Kenntnis eines Benutzernamens und Passworts verwendet werden können.

Oracle sagte, dass es früh aktualisiert wurde, da eine der im Update behobenen Sicherheitslücken bereits in der freien Natur ausgenutzt wird.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

"Aufgrund der Bedrohung durch einen erfolgreichen Angriff empfiehlt Oracle dringend, dass Kunden so schnell wie möglich CPU-Fixes anwenden", warnte das Unternehmen in einem Update-Advisory.

Oracle stürzte Im Januar wurde ein Sicherheitsupdate für Java herausgegeben, nachdem das Computer Emergency Readiness-Team (US-CERT) des Department of Homeland Security empfohlen hatte, die Software aufgrund von Sicherheitsbedenken für alle Benutzer zu deaktivieren. Diese Bedenken betrafen eine Zero-Day-Schwachstelle, die von Toolkits ausgenutzt wird, die von Cyberkriminellen zum Diebstahl vertraulicher Informationen von Computern verwendet werden.

Auch nach der Veröffentlichung dieses Updates, Java 7 Update 11, empfahl die Agentur, Java auszuschalten, es sei denn, es wurde absolut verwendet notwendig.

Es wurde schnell klar, dass der 7u11-Fix seine Marke verfehlt hatte. Nur wenige Tage nach seiner Veröffentlichung begann ein Hacker, auf dem Online-Schwarzmarkt ein Paar neue Java Zero Day-Schwachstellen für jeweils 5000 Dollar zu betreiben.

Andere Hacker, die vielleicht nicht die Fähigkeiten hatten, Schwachstellen zu finden, nutzten die Schlagzeilen über Javas Probleme Phishing-Expeditionen bieten gefälschte Updates der Oracle-Programmiersprache. Nach der Installation durch einen Benutzer installiert das gefälschte Update eine Hintertür zu einem System, das es einem Hacker ermöglicht, es zu kontrollieren.

Fehler in Aktualisierung gefunden

Javas Missgeschicke wurden fortgesetzt, als später im Monat Security Explorations, eine polnische Sicherheitsfirma mit eine Geschichte des Findens von Sicherheitsmängeln in Java, entdeckte neue Verwundbarkeiten im 7u11-Update, die ausgenutzt werden könnten, um die Sandbox des Programms zu vermeiden - eine Programmiertechnik, die den Schaden von schädlichem Code für ein System isolieren kann.

"Diese Probleme werden fortbestehen bis Oracle die Sandbox repariert ", sagte Bitdefenders Senior E-Bedrohungsanalytiker Bogdan Botezatu in einem Interview.

Botezatu kritisierte, wie viel Oracle auf Benutzer angewiesen hat, die Sicherheit im 7u11-Update aufrechtzuerhalten.

Zum Beispiel das Update legt standardmäßig die höchste Sicherheitsstufe für Java fest. Wenn auf dieser Ebene ein nicht signiertes Java-Applet versucht, in einem Browser ausgeführt zu werden, wird eine Meldung angezeigt, die den Benutzer warnt, dass die Anwendung gefährlich sein könnte und der Benutzer auf eigenes Risiko vorgehen sollte.

Benutzer ignorieren solche Warnungen normalerweise, weil Sie finden sie nervig. Das gilt besonders für Kinder, die Java-Spiele im Web spielen - eine Tatsache, die bei digitalen Desperados nicht verloren geht, betont Botezatu. "Ich habe viele Websites mit Java-Malware auf Seiten gesehen, die mit Keywords für Kinder optimiert wurden", sagte er.

Mit dem neuesten Java-Update versucht Oracle möglicherweise, sein Glück mit dem Programm zu ändern. Es scheint, Update 12 in seinem Nummerierungsschema übersprungen zu haben, und bezeichnete das neuste Bundle von Updates Java 7 Update 13.