Zum Inhalt springen
  • Von: DOAG Online
  • Java Security Business Solutions
  • 14.01.2013

Sicherheitslücke behoben: Oracle veröffentlicht außerplanmäßiges Update

Oracle hat als Reaktion auf die vergangene Woche bekanntgewordene Zero-Day-Sicherheitslücke (CVE-2013-0422) ein außerplanmäßiges Update veröffentlicht. Mit der Aktualisierung der Software auf Java 7 Update 11 behebt Oracle nicht nur die Schwachstelle. Oracle dreht auch bei den Standardeinstellungen an einer Stellenschraube.

In dem Update stopft Oracle neben der aktuellen Sicherheitslücke (CVE-2013-0422) eine zweite, ähnliche Schwachstelle. Beide haben den maximalen CVSS-Wert von 10. Zusätzlich zu dem Update, das zum Download bereit steht, stellt Oracle den Sicherheitslevel der Standarteinstellungen in Java von „Medium“ auf „Hoch“. Mit dieser Änderung sollen Benutzer immer gewarnt werden, bevor unsignierte Java-Applets oder - Webapplikationen ausgeführt werden. Es wird dringend geraten, auf die aktuelle Java-Version umzusteigen. Weitere Informationen zum Sicherheitsmodell sind online verfügbar.

Sollte der Slider in dem Security- Tab vom Java Control Panel (JCP) nicht sichtbar sein, könnte es an einer Standalone-Installation von JavaFX2.0 liegen. In diesem Fall muss laut Oracle JavaFX deinstalliert werden. Falls Anwender das Java-Plugin in ihrem Browser deaktiviert hatten, müssen sie es nach der Installation dieses Releases manuell reaktivieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte vergangenen Freitag in einer Pressemitteilung empfohlen, bei einer Nicht-Nutzung von Java das Programm über die Systemsteuerung komplett zu deinstallieren, bis ein Sicherheitsupdate vorliege. Die Schwachstelle war bereits in Expoits gefunden worden.