Und täglich grüßt das Murmeltier…
Kürzlich erst berichteten wir von einem als äußerst kritisch eingestuften Java-Update und munkelten forsch, dass dies unserer Einschätzung nach gar nicht die gravierenden Sicherheitslücken beheben würde.
Wir sollten Recht bewahren: Heute – zwei Wochen vor dem von Oracle geplanten nächsten Update – steht bereit ein weiteres als kritisch eingestuftes Sicherheitsupdate zum Download bereit. Es beinhaltet laut Aussage des Herstellers insgesamt 50 Updates für Sicherheitslücken, die bereits vielfach ausgenutzt worden sind und deshalb sofort gehandelt werden müsse. Über die Hälfte dieser 50 Updates bewertet der Hersteller selbst sogar nach wie vor mit dem höchsten bei Oracle intern bekannten Schweregrad von 10. Schlimmere Sicherheitslücken gibt es laut Oracle nicht. Wie schön, dass hier gleich 26 Stück seit Wochen bestehen und es bislang keine wirkliche Lösung dafür gab. Nun gut, ob nun andere Hersteller besser sind sei einmal als fraglich in den Raum gestellt. Bei Java fällt es nur extrem auf, denn bis auf das Apple iPad gibt es wohl kaum ein Gerät, das nicht standardmäßig mit Java ausgeliefert wird.
Es sollte also wie auch immer jeder schnellstmöglich das nächste Update einspielen. Für all jene, die nicht unbedingt auf Java angewiesen sind, hat das US CERT einen ganz pragmatischen Tipp: Einfach alles, was mit Java zu tun hat, deinstallieren. Wenn man wie wir gerade erst einige hundert Maschinen aktualisiert haben muss man schon zugeben, man kann das irgendwie nachvollziehen…