Oracle an alle

Bitte Java SE 7 ASAP patchen!

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Oracle hat außer der Reihe einen Patch für die Desktop-Version (SE) von Java 7 veröffentlicht.

Dieser stopft drei schwere Sicherheitslücken in Java SE 7, die bereits aktiv durch webbasierende Exploits angegriffen werden. "Aufgrund der Schwere der Sicherheitslücken empfiehlt Oracle, dass Kunden diesen Security Alert so schnell wie möglich anwenden", schreibt Eric Maurice, Oracles Director of Software Security Assurance, in einem Blogpost.

Die Sicherheitslücken betreffen im Übrigen ausschließlich Java im Browser (weswegen zum Beispiel das BSI geraten hatte, die Browser-Plug-ins für Java zu deaktivieren). Standalone-Java-Anwendungen auf dem Desktop oder Server-Java sind nicht betroffen.

Die Schwachstellen waren am vergangenen Wochenende bekannt geworden und hielten einem Bericht von "The Register" zufolge umgehend Einzug in das Malware-Toolkit "Blackhole" sowie das Penetration Testing Tool "Metasploit".

Am Mittwoch erklärte dann Adam Gowdiak von der polnischen Firma Security Explorations, man habe Oracle bereits im April dieses Jahres über die drei genannten und 29 weitere Sicherheitslücken informiert. Oracle habe die entsprechenden Fixes aber nicht mehr rechtzeitig für das Critical Patch Update (CPU) im Juni fertig bekommen.

Das nächste CPU ist allerdings erst für den 16. Oktober angesetzt. Nachdem den Sicherheitslecks nun aber schon eine Menge öffentliche Aufmerksamkeit zuteil wurde, sah sich Oracle offenbar gezwungen, ein seltenes Update außer der Reihe herauszubringen.

Nach Angaben von Maurice erhalten Java-Nutzer unter Windows die gepatchte Version Java SE 7 Update 7 über die automatische Update-Funktion. Endkunden auf anderen Plattformen können sie von http://java.com herunterladen und installieren; Entwickler finden die neueste Version wie gewohnt beim OTN.