Java SE 7 Update 25 schließt 40 Sicherheitslücken

Hartmut Schlosser

Das Java SE 7 Update 25 ist verfügbar. 40 Sicherheitsfixes wurden durchgeführt, darunter 11, die mit dem höchsten Risikoindex (CVSS) von 10 ausgezeichnet sind. Das Gros der behobenen Schwachstellen bezieht sich wieder einmal auf Java im Browser bzw. Java Web Start, allerdings sind auch vier Fixes durchgeführt worden, die Server Deployments sicherer machen.

Oracle rät zu einem sofortigen Update:

Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply CPU fixes as soon as possible.

37 der Sicherheitslücken könnten dazu führen, dass Anwendungen Remote über ein Netzwerk und ohne Authentifizierung via Usernamen und Passwort übernommen werden. Ein Fix bezieht sich auf das Javadoc Tool:

This Critical Patch Update includes a fix to the Javadoc Tool. API documentation in HTML format generated by the Javadoc tool that contains a right frame may be vulnerable to frame injection when hosted on a web server. Sites hosting such pages should re-generate the API documentation using the latest Javadoc tool and replace the current pages with the re-generated Javadoc output. In cases where regenerating API documentation is not feasible, a Java API Documentation Updater Tool that updates API documentation „in place“ is available here.

Das Update erfolgt außerhalb der Reihe der vorgesehenen Critical Patch Updates und folgt damit dem erklärten Sicherheitsplan Oracles, Fixes nicht zurückzuhalten sondern möglichst unkonventionell und schnell zur Verfügung zu stellen. Im Mai wurde dafür eigens ein Prozess definiert und auch das Versionierungschema der Updates geändert.

Geschrieben von
Hartmut Schlosser
Hartmut Schlosser
Hartmut Schlosser ist Redakteur und Online-Koordinator bei Software & Support Media. Seine Spezialgebiete liegen bei Java-Enterprise-Technologien, JavaFX, Eclipse und DevOps. Vor seiner Tätigkeit bei S & S Media studierte er Musik, Informatik, französische Philologie und Ethnologie.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.