Angreifer können über eine Schwachstelle in einigen Windows-Installationspaketen von Java SE 6, 7 und 8 Computer angreifen. Die Lücke, welche die Kennzeichnung CVE-2016-0603 hat, kann ausschließlich während der Installation ausgenutzt werden. Oracle erläutert, dass die, die Java bereits installiert haben, nicht davon gefährdet sind. Aktuell sind keine Angriffe bekannt.

Zum öffentlichen Download steht das abgesicherte Installationspaket 8u73 bereit. Da der öffentliche Support im April 2015 eingestellt wurde, erhalten nur zahlende Kunden die behobenen Versionen 6u113 und 7u97. Nicht betroffen soll Java SE Advanced Enterprise sein. Mit einem CVSS Base Score von 7,6/10 hat Oracle den Schweregrad der Schwachstelle eingestuft.

Ein Angreifer könne zwar mittels einem Exploit Computer kapern, allerdings muss er dafür seine Opfer vor der Java-Installation auf eine manipulierte Webseite locken und ihnen dann auf einem nicht näher beschriebenen Weg Schadcode unterschieben. Weitere Details hat Oracle zu dieser Schwachstelle nicht veröffentlicht.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE