JavaSE-Nutzer sollten so bald wie möglich ihre JDK- und JRE-Pakete aktualisieren, empfiehlt Oracle in den Erklärungen zu seinem heutigen Update. Es behebt 14 Sicherheitslücken, von denen 6 als besonders schwerwiegend eingestuft sind: Sie erlauben Angriffe über das Netz ohne vorherige Authentifizierung.

Von Heise:

Zu den Details macht Oracle selbst nur wenige Angaben. Die sechs Bugs betreffen offenbar Web-Start-Anwendungen und Java-Applets, die als nicht vertrauenswürdig eingestuft sind – etwa weil sie ohne Zertifikat ausgeliefert werden oder weil die Zertifikatsprüfung gescheitert ist. Eine der Lücken könne auch, so heißt es weiter, durch das Weiterreichen von Daten an Java-APIs ausgenutzt werden, etwa per Web Service.

Mehr Informationen hält der Linux-Anbieter Red Hat in seiner Fehlerdatenbank bereit. Der jetzt beseitigte Bug CVE 2012-1723 betrifft demzufolge den Java-Hotspot-Compiler, der die Zugriffsrechte für Klassen- und Objektattribute nicht immer prüft. Dadurch könne eine spezielle Klassendefinition unter Umständen die Grenzen der Java-Sandbox durchbrechen. Die unter CVE 2012-1713 zusammengefassten Lücken finden sich im nativen Code für den Fontmanager. Eine manipulierte Schriftdatei könne dadurch die JVM abstürzen lassen oder ihren Speicherbereich so manipulieren, dass die virtuelle Maschine beliebigen Code mit ihren Rechten ausführe.

Quelle: http://www.heise.de/newsticker/meldung/Oracle-schliesst-gravierende-Java-Luecken-1616562.html

Java Runtime Environment (JRE) im heise Software-Verzeichnis
Java Standard Edition (Java SE / JDK) im heise Software-Verzeichnis