Der Java-Hersteller Oracle, vormals Sun, schließt in den aktuellen Softwareaktualisierungen kritische Sicherheitslücken. Java ist von diesem Sicherheitspatch auch betroffen.
Java steht seit der Übernahme von Oracle in einem schlechten Licht da. Immer wieder tauchen kritische Sicherheitslücken auf, die nach Meinung von Sicherheitsexperten teils zu spät geschlossen werden. Wie der eine oder andere Benutzer schon gemerkt hat, warnt Chrome beispielsweise bei einer veralteten Java-Version und schickt den Nutzer durch einen beschwerlichen Warnungsfenster-Dschungel und Firefox deaktiviert im Standard veraltete Java-Plugins. Vor wenigen Tagen, am 15. Oktober, ist eine ganze Reihe von Softwareaktualisierungen für Oracle-Software erschienen. Dabei handelt es sich um ein „Critical Patch Update“ (CPU), das 127 Sicherheitslücken schließt. Davon betreffen alleine 51 Stück Java. Die anderen verteilen sich auf Datenbanklösungen Oracle Database, (4 Bugs), Oracle Fusion (17 Bugs) GlassFish Server, MySQL (8 Bugs) und andere Middleware-Produkte.
Da die meistverwendete Software von Oracle Java ist, muss hier ein besonderes Maß an Aufmerksamkeit aufgebracht werden. Von den 51 Fehlern sind 21 Stück auf dem Common Vulnerability Scoring System (CVSS) mit mindestens 9 von 10 Risikopunkten bewertet. Einige der Lücken betreffen nur die JRE, also Client-Software auf Rechnern. Andere sind mögliche Einfallstore für Java-Server wie beispielsweise Apache Tomcat oder Jetty. Beide Szenarien sind als kritisch zu bewerten und es ist dringend ratsam ein Update auf die aktuellste Version (Version 7, Updateversion 45) durchzuführen. Auch Patches für ältere Versionen (5, 6) werden von Oracle für Kunden mit einem Wartungsvertrag bereitgestellt. Apple-User werden von Apple direkt mit einer aktualisierten Version versorgt. Wichtig anzumerken ist, dass das Browser-Plugin deinstalliert wird. Dieses kann über die Oracle-Seite heruntergeladen und installiert werden.