Endlich hat Oracle ein Update für die Java-SE-Versionen 5, 6 und 7 sowie für JavaFX 2.2 veröffentlich. 40 Lücken werden in der Client-Software gepatched.
37 der Lücken, unter denen sich auch Schwachstellen der höchsten Gefährdungsstufe 10 befinden, können ohne Authentifizierung remote ausgenutzt werden.
Laut Oracle soll das aktuelle Java-Update das Letzte außerhalb des üblichen dreimonatlichen Patch-Cyklus sein. Ab diesen Oktober wird Oracle die Patches nur noch zusammen mit den Patches für alle anderen Produkte veröffentlichen. Bereits mehrmals in diesem Jahr musste Oracle Updates außerhalb der Reihe herausgeben, weil kritische Zero-Day-Lücken geschlossen werden mussten.
Trotz dieses Updates ist es nicht sehr wahrscheinlich, dass Java in Zukunft wesentlich sicherer werden wird. Ein Grund hierfür könnte auch der lange Update-Zyklus und die komplizerte Update-Prozedur sein. Patches für kritische Sicherheitslücken sollten so schnell wie möglich herausgegeben werden und nicht bis zum nächsten Update-Termin zurückgehalten werden.
Wir empfehlen entweder auf Java ganz zu verzichten bzw. Java im Browser zu deaktivieren oder zumindest die Sicherheitsstufe auf "Sehr hoch" einzustellen.