20.02.2013 10:28
Oracle stopft Sicherheitslecks: Updates für Java 1.4 bis 7 Update
In der Nacht zum heutigen Mittwoch hat Oracle das angekündigte Update zum erst vor drei Wochen außer der Reihe erschienenen "Critical Patch Update" veröffentlicht. Betroffen sind alle Java-Laufzeitumgebungen ab Version 1.4 bis zur aktuellen Version 7.
Dieses Update soll drei Lücken schließen, die Oracle der höchsten Gefährdungsstufe 10 zuordnet. Sie sind mit den CVE-Nummern 2013-1484, 2013-1486 und 2013-1487 gekennzeichnet und über das Netzwerk ohne Authentifizierung ausnutzbar. Betroffen sind Bibliotheken, Deployment-Komponenten und erneut JMX. Diese Java Management Extensions standen bereits in der Vergangenheit im Zentrum von Lücken, die der Sicherheitsforscher Adam Gowdiak aufdeckte.
Alle drei Lücken sowie eine vierte, weniger schwere (CVE-2013-1485) in den Bibliotheken betreffen die Ausführung von Java-Applets im Browser oder via Web Start. Dieses Verfahren kommt etwa bei der Steueranmeldung via ElsterOnline zum Einsatz.
Update 21.2. 11:05: Hinweis auf die AusweisApp entfernt. Sie läuft nicht als Applet oder via Web Start.
Geschlossen wurde auch die als "Lucky 13" bekanntgewordene Schwachstelle in der TLS/SSL-Implementierung (CVE-2013-0169). Der Angriff nutzt aus, dass das Entschlüsseln bestimmter manipulierter Nachrichten länger dauert als anderer. Seine Entdecker stuften ihn als noch nicht praktikabel ein, Oracle gab der Lücke 4.3 von 10 maximal möglichen Gefährdungspunkten. Sie betrifft als einzige der jetzt geschlossenen den Einsatz von Java auf dem Server.
Java-Nutzer sollten ihre Installation möglichst bald aktualisieren. Für Mac OS X stellt Apple per Software-Aktualisierung eine korrigierte Version von Java 6 zur Verfügung. Wer den Nachfolger benutzt, muss sich die Software selbst bei Oracle beschaffen. Am 16. April will Oracle außerhalb seines üblichen dreimonatlichen Zyklus weitere Java-Patches veröffentlichen, die nicht genannte Sicherheitslücken schließen sollen.
Mit diesem Patch stellt Oracle letztmalig Sicherheitsupdates für Java 6 öffentlich zur Verfügung. Zukünftige Aktualisierungen dieser Version gibt es nur noch für zahlende Support-Kunden. Bislang ist Java 6 noch die am weitesten verbreitete Desktop-Version.
(ck)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
