Java 7 Update 11 wurde freigegeben. Den Download gibt es direkt bei Oracle.

Update (13.01.13, 15:33 Uhr):

Mittlerweile hat sich Oracle zu der Sicherheitslücke geäußert und ein baldiges Update in Aussicht gestellt. Wann dieses Update genau erscheinen soll, wird nicht genannt.

Nach Angaben von Oracle sind nur die neueste Version von Java (7 bzw. 1.7.x) und alle Java Browser-Plugins betroffen. Ältere Java-Versionen (Browser Plug-In ausgeschlossen) seien weiterhin sicher.

Wie heute bekannt wurde, sind alle Java-Versionen der Firma Oracle von einer Zero-Day-Sicherheitslücke betroffen, wobei es Angreifern möglich ist, ein komplett gepatchtes System (alle Updates installiert) zu kapern und beispielsweise in ein Bot-Netzwerk einzubinden.

Nutzer von Mac OS X müssen sich jedoch keine Sorgen machen, Apple hat Java vorsorglich durch ein Update der Datei Xprotect.plist deaktiviert. Damit haben OS X-Benutzer nichts zu befürchten, Windows-User bleiben weiterhin ungeschützt. Betroffen ist ausschließlich das Browser-Plugin, also im Safari-, Firefox-, Opera- oder Internet-Explorer-Browser.

Sogar das US Department of Homeland Security rät den Nutzern laut MacRumors dazu, das Java-Plugin auf ihrem System zu deaktivieren bzw. zu deinstallieren, bis die Sicherheitslücke von Oracle geschlossen wurde. Es gäbe laut einem zitierten Sicherheitsexperten aktuell keine praktische Lösung. Eine Stellungname von Oracle steht noch aus.

Bekannt ist, dass die Sicherheitslücke schon in Exploit-Kits aufgenommen wurde, sodass schon allein der Besuch einer infizierten Webseite schadhaft für den Computer sein kann. Dabei kann es sich auch um eine ansonsten vertrauenswürdige Webseite handeln.

Alle Java-Versionen von 1.4.x bis 1.7.x sind betroffen. Wann das Update seitens Oracle kommt, ist noch unklar. Unter Windows solltet ihr nun schnellstmöglich Java durch die Systemsteuerung deinstallieren. 

Wir erinnern uns passend dazu an den Flashback-Trojaner, welcher mehr als 600.000 Macs weltweit infizierte. Dort spielte Java ebenfalls eine zentrale Rolle. Mit einigen Java-Updates konnte die Gefahr schließlich gebannt werden.

Ähnliche Artikel:

1. Apple veröffentlicht Java-Update 2012-004
2. Apple veröffentlicht weiteres Java-Update für Mac OS X + RAW-Kompatibilitätsupdate 3.12
3. Apple veröffentlicht Java-Update
4. Updates: iMovie 9.0.8 und Java für OS X 2012-005 1.0

Apple hat ein Update für das in Mac OS X integrierte Java veröffentlicht.

Es ist auf einem Mac mit OS X Lion 66,8 MB groß.

In der Updatebeschreibung heißt es:

Dieses Update konfiguriert das Java-Web-Plug-In so, dass es deaktiviert wird, wenn über eine längere Zeit keine Applets ausgeführt werden. Wenn das vorausgehende Update „Java für OS X 2012-003“ nicht installiert wurde, wird das Java-Web-Plug-In durch dieses Update sofort deaktiviert. Durch Klicken auf „Inaktives Plug-In“ auf einer Webseite können Java-Applets erneut aktiviert werden.

Es müssen alle Browser und Programme geschlossen werden, bevor man die Installation startet.

Das Update steht für alle Nutzer von Mac OS X über die interne Softwareaktualisierung bereit.

Hier gibt es weitere Informationen zum 2012-004 Java-Update.

Ähnliche Artikel:

1. Apple veröffentlicht Java-Update
2. Apple veröffentlicht weiteres Java-Update für Mac OS X + RAW-Kompatibilitätsupdate 3.12
3. F-Secure veröffentlicht Flashback Removal-Tool zur Entfernung des Mac-Trojaners
4. Apple veröffentlicht MAC OS X 10.6.6 Update inkl. Mac App Store

Die russische Sicherheitsfirma Dr. Web berichtet, dass der Mac OS X – Trojaner Backdoor.Flashback aktuell über 600.000 Macs infiziert haben soll. Zunächst lag die Zahl bei 550.000 Macs, doch Malware-Analyst Ivan Sorokin korrigierte den Wert per Twitter auf über 600.000 Macs.

Wie Dr. Web verlauten lässt, gelangt BackDoor.Flashback.39 über eine Java-Sicherheitslücke und manipulierte Webseite auf den Mac. Bereits im September 2011 tauchte der Flashback-Trojaner getarnt als Adobe Flash-Player auf und erhielt deshalb auch seinen Namen.

Macs in den USA mit über 56 Prozent und Macs in Großbritannien mit knappen 13 Prozent machen den größten Anteil des Flashback-Botnetzes aus. In Deutschland liegt der Anteil bei nur geringen 0,4 Prozent. Auch 274 Macs auf dem Apple-Campus in Cupertino sollen laut dem Tweet von Ivan Sorokin betroffen sein.

Vor wenigen Tagen vermeldete F-Secure eine neu aufgetauchte Version des Trojaners und veröffentlichte eine Anleitung zur manuellen Entfernung von Flashback. Apple hat zwar reagiert, aber das Java-Update nur für Mac OS X 10.7 Lion und 10.6 Snow Leopard bereitgestellt. Andere Mac-Versionen bleiben vorerst ungeschützt.

Derzeit besteht die Gefahr nur für Mac-Benutzer mit einem System älter als 10.6 Snow Leopard. Windows-Benutzer brauchen nichts zu befürchten, da das Java-Update hier schon seit Februar zum Download verfügbar ist.

Ähnliche Artikel:

1. VORSICHT Mac-Nutzer: Trojaner gibt sich als Adobe Flash aus
2. Freitag: Apple Black Friday, Rabatte bis zu 100 € bei iPhones, iPads, Macs
3. Mac OS X Lion 10.7 morgen Verkaufsstart, Update für Migrationsassistent auf Snow Leopard
4. Mac OS X Snow Leopard Update 10.6.8 erschienen, letztes Update vor Lion