Update 2 (14.01.13, 02:16 Uhr):
Java 7 Update 11 wurde freigegeben. Den Download gibt es direkt bei Oracle.
Update (13.01.13, 15:33 Uhr):
Mittlerweile hat sich Oracle zu der Sicherheitslücke geäußert und ein baldiges Update in Aussicht gestellt. Wann dieses Update genau erscheinen soll, wird nicht genannt.
Nach Angaben von Oracle sind nur die neueste Version von Java (7 bzw. 1.7.x) und alle Java Browser-Plugins betroffen. Ältere Java-Versionen (Browser Plug-In ausgeschlossen) seien weiterhin sicher.
[divider]
Wie heute bekannt wurde, sind alle Java-Versionen der Firma Oracle von einer Zero-Day-Sicherheitslücke betroffen, wobei es Angreifern möglich ist, ein komplett gepatchtes System (alle Updates installiert) zu kapern und beispielsweise in ein Bot-Netzwerk einzubinden.
Nutzer von Mac OS X müssen sich jedoch keine Sorgen machen, Apple hat Java vorsorglich durch ein Update der Datei Xprotect.plist deaktiviert. Damit haben OS X-Benutzer nichts zu befürchten, Windows-User bleiben weiterhin ungeschützt. Betroffen ist ausschließlich das Browser-Plugin, also im Safari-, Firefox-, Opera- oder Internet-Explorer-Browser.
Sogar das US Department of Homeland Security rät den Nutzern laut MacRumors dazu, das Java-Plugin auf ihrem System zu deaktivieren bzw. zu deinstallieren, bis die Sicherheitslücke von Oracle geschlossen wurde. Es gäbe laut einem zitierten Sicherheitsexperten aktuell keine praktische Lösung. Eine Stellungname von Oracle steht noch aus.
Bekannt ist, dass die Sicherheitslücke schon in Exploit-Kits aufgenommen wurde, sodass schon allein der Besuch einer infizierten Webseite schadhaft für den Computer sein kann. Dabei kann es sich auch um eine ansonsten vertrauenswürdige Webseite handeln.
Alle Java-Versionen von 1.4.x bis 1.7.x sind betroffen. Wann das Update seitens Oracle kommt, ist noch unklar. Unter Windows solltet ihr nun schnellstmöglich Java durch die Systemsteuerung deinstallieren.
Wir erinnern uns passend dazu an den Flashback-Trojaner, welcher mehr als 600.000 Macs weltweit infizierte. Dort spielte Java ebenfalls eine zentrale Rolle. Mit einigen Java-Updates konnte die Gefahr schließlich gebannt werden.
