Wie heise.de berichtete, hat Oracle im aktuellen Fall gleich noch eine weitere Schwachstelle beseitigt – die bereits seit 2012 bekannt war. Das legt zumindest der sogenannte CVE-Name der Sicherheitslücke nahe. CVE steht für Common Vulnerabilities and Exposures und ist ein Standard, der Sicherheitslücken von Software auf seiner Seite benennt und sammelt. Auch Adam Gowdiak kannte die Lücke schon länger. Sein Unternehmen Security Explorations hatte Oracle auf die Schwachstelle hingewiesen. Das Update erschien trotzdem erst jetzt. 

Im jährlichen Report von Kaspersky Labs führt Java seit Jahren die Liste der am häufigsten angegriffenen Software an. 2012 zielte die Hälfte aller Angriffe auf Java JRE. Früher führte der Adobe Reader diese Liste an. Auch er ist plattformunabhängig nutzbar und damit auch heute noch ein beliebtes Ziel.

Diese Unabhängigkeit von einer Plattform macht auch Java JRE für Angreifer attraktiv. Java läuft unter Windows, MacOS, Android und Linux. Außerdem ist es kostenlos. Kriminelle können, wenn sie eine Lücke entdecken, so auf Millionen Rechner zugreifen. Das auf Virenabwehr spezialisierte Unternehmen Kaspersky Labs spricht von etwa drei Milliarden Rechnern, auf denen Java JRE in allen Versionen läuft. Die universelle Anwendung ist damit nicht nur Vorteil, sondern auch Fluch.

Das beste Rezept dagegen ist eine schnelle Lieferung der Updates. Bessert Oracle hier nicht nach, könnten sich immer mehr Entwickler und Nutzer nach Alternativen umsehen. Apple ist inzwischen zu einer pragmatischen Lösung übergegangen. Java ist auf neu ausgelieferten Geräten erst gar nicht installiert.