Oracles Java SE 7 Update 97 und Version 8 Update 73 und 74 für Linux, OS X, Solaris und Windows sind verwundbar. Davon ist aber nur die Webbrowser Version von Java SE auf Desktop-Computern betroffen.

Nicht betroffen sind Standalone-Applikationen und Versionen für Server, die ausnahmslos vertrauenswürdigen Code ausführen, erläutert Oracle in einer Sicherheits-Warnung.

Auf einer Download-Seite von Oracle finden Entwickler die abgesicherte Version. Windows-Nutzer können das Sicherheits-Update über java.com erhalten. Eine weitere Möglichkeit für Windows-Nutzer wäre die automatische Update-Funktion. Die betroffenen Java-SE-Versionen sollten dringend abgesichert werden, rät Oracle. Für einen erfolgreichen Angriff seien die technischen Details bereits an die Öffentlichkeit gelangt.

Angreifer müssen Opfer auf eine manipulierte Seite locken, um den Übergriff einzuleiten. Kriminelle können den Computer anschließend ausspähen und manipulieren, warnt Oracle. Die Lücke sei ohne Authentifikation aus der Ferne nutzbar. Oracle stuft die Bedrohungslage mit dem CVSS Base Score 9.3/10 ein. Allerdings gilt diese hohe Wertung nur, wenn das potenzielle Opfer Admin-Rechte hat.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE