Java-Update 2012-001 für OS X erschienen, aktualisiert Java SE auf 1.6.0_31
Stefan Keller, den 3. April 2012Apple hat soeben ein Update für die Java-Runtime in Mac OS X veröffentlicht. Es trägt den Namen 2012-001 und erinnert damit an die Nummerierung bei reinen Sicherheitsfixes. Laut Changelog wird damit Java SE 6 auf Version 1.6.0_31 aktualisiert.
Die neue Version steht ab sofort über die Softwareaktualisierung im Apple-Menü zum Download bereit. Im Support-Bereich ist derzeit noch nichts zu finden, weder bei den Downloads, noch bei den Release-Notes zu Veröffentlichungen mit sicherheitsrelevanten Änderungen.
Update: Inzwischen wurde eine Webseite online gestellt, die die sicherheitsrelevanten Änderungen beschreibt. Hier wird beschrieben, dass mehrere Lücken gefunden wurden, die es erlauben, dass nicht signierte Java-Programme ausgeführt werden und aus der Sandbox ausbrechen können. Sie können dann Code ausführen, der mit den Rechten des Benutzers läuft. Sowohl das Update 2012-001 für OS X Lion als auch das Java-Update 7 für Mac OS X Snow Leopard beheben diese Probleme, indem sie Java SE auf 1.6.0_31 patchen.
Update 2: Apple hat nun auch die Downloads im Download-Bereich der Support-Webseite nachgereicht. Hier steht je ein Update für Mac OS X 10.6 Snow Leopard (knapp 80 MB) und eines für OS X 10.7 Lion (66,6 MB) zum Download bereit. Der Weg über die Softwareaktualisierung aus dem Apple-Menü bleibt für beide Versionen aber erhalten.
Zumindest unter OS X Lion ist das Update 66,6 MB groß. Laut Beschreibung handelt es sich um das „Java für OS X 2012-001-Update 1“ und soll Kompatibilität, Sicherheit und Verlässlichkeit verbessern. Viel mehr verraten auch die „umfangreichen“ Release-Notes in der Knowledgebase nicht, außer, dass dieses konkrete Update für OS X Lion oder neuer zur Verfügung steht.
Ein weiteres Support-Dokument ist ähnlich kurz angebunden, spricht aber von demselben Update für Mac OS X 10.6 Snow Leopard. Diese Aktualisierung ist für 10.6.8 „oder spätere Versionen“ vom Snow Leopard geeignet.
Ob mit dem Update der wunde Punkt beseitigt wird, den der Trojaner Flashback.K verwendet, ist nicht bekannt, aber angesichts der Vorlaufzeit (die Windows-Version von Java wurde bereits im Februar geflickt) doch relativ wahrscheinlich. Anwender sollten also in jedem Fall nach Möglichkeit nicht mit dem Update warten und den Patch umgehend einspielen. Hierfür müssen alle Java-Programme und Browser-Fenster geschlossen werden. Nach der Installation können sie wieder geöffnet werden, ein Neustart des gesamten Systems wird nicht notwendig.