Das vor allem für seine Datenbank-Software bekannte Unternehmen
↗Oracle
hat im April 2009 den Java-Hersteller Sun Microsystems übernommen. Regelmäßige Sicherheits-Updates für Java SE (Standard Edition) werden seit Oktober 2013 alle drei Monate
bereitgestellt; seit April 2022 jeweils am dritten Dienstag im Januar, April, Juli und Oktober. In Ausnahmefällen gibt es auch Updates außerhalb dieses Turnus.
Die nächsten Termine: 15.10.2024, 21.01.2025, 15.04.2025, 15.07.2025
Java SE ist in zwei Varianten erhältlich. Für Software-Entwickler gibt es das Java Development Kit (JDK) und für Anwender das Java Runtime Environment (JRE – Laufzeitumgebung).
Im Folgenden ist stets Java SE gemeint, wenn von Java die Rede ist.
Für Anwender bleibt Java 8 auf absehbare Zeit die von Oracle empfohlene Version. Die eine oder andere Anwendungs-Software, wie zum Beispiel
↗MediathekView, setzt bereits Java > 8 ein, bringt die erforderliche
Laufzeitumgebung jedoch selbst mit. Anwender müssen also Java-Versionen höher als 8 nicht mehr separat installieren.
Seit Java 9 gibt es alle sechs Monate (März, September) eine neue Hauptversion, die als Feature Update die vorherige ersetzt. Seit Java 11 (Oktober 2018) gibt es alle drei Jahre eine Langzeitversion (LTS, Long Term Support) mit acht Jahren Update-Versorgung. Mehr dazu finden Sie im ↗Blog der Java Platform Group sowie in der ↗Java SE Support Roadmap. Im September 2021 hat Oracle ↗angekündigt, künftig alle zwei Jahre eine LTS-Version auszuliefern. Für die Bewertung des Risikopotenzials erkannter Sicherheitslücken setzt Oracle auf den ↗CVSS 3.1 Base Score, dessen höchster Wert 10.0 ist.
Versionsverlauf
Java 23 Java 21 (LTS) Java 17 (LTS) Java 11 (LTS) Java 8
(derzeit unterstützte Versionen)
Java 23
Am 17.09.2024 hat Oracle Java 23 (JDK) freigegeben. Im ↗Blog
der Java Platform Group berichtet Sharat Chander, Direktor für Java SE Produktmanagement, was es Neues in Java 22 gibt.
↗Release Notes
Wie üblich sind zwei Sicherheits-Updates geplant (Oktober 2024, Januar 2025), bevor Java 23 im März 2025 durch Java 24 abgelöst wird.
Für Anwender bleibt Java 8 die von Oracle empfohlene Version.
Java 22
Am 19.03.2024 hat Oracle Java 22 (JDK) freigegeben. Im ↗Blog
der Java Platform Group berichtet Sharat Chander, Direktor für Java SE Produktmanagement, was es Neues in Java 22 gibt.
↗Release Notes
Wie üblich sind zwei Sicherheits-Updates geplant (April 2024, Juli 2024), bevor Java 22 im September 2024 durch Java 23 abgelöst wird.
Am 16.07.2024 hat Oracle ein Sicherheits-Update bereitgestellt: Java 22.0.2 beseitigt 5 Sicherheitslücken
(max. CVSS 7.4).
Für Anwender bleibt Java 8 die von Oracle empfohlene Version.
Java 21 (LTS)
Am 19.09.2023 hat Oracle Java 21 (JDK) freigegeben, die dritte Version mit Langzeitunterstützung (LTS – Long Term Support). Für acht Jahre (bis Sommer 2031) soll es Updates geben.
Im ↗Blog
der Java Platform Group berichtet Sharat Chander, Direktor für Java SE Produktmanagement, was es Neues in Java 21 gibt.
↗Release Notes
Am 16.07.2024 hat Oracle ein Sicherheits-Update bereitgestellt: Java 21.0.4 beseitigt 5 Sicherheitslücken
(max. CVSS 7.4).
Für Anwender bleibt Java 8 die von Oracle empfohlene Version.
Java 20
Am 21.03.2023 hat Oracle Java 20 (JDK) freigegeben. Im ↗Blog
der Java Platform Group berichtet Sharat Chander, Direktor für Java SE Produktmanagement, was es Neues in Java 20 gibt.
↗Release Notes
Wie üblich sind zwei Sicherheits-Updates geplant (April 2023, Juli 2023), bevor Java 20 im September 2023 durch Java 21 (LTS) abgelöst wird.
Am 18.07.2023 hat Oracle ein Sicherheits-Update bereitgestellt: Java 20.0.2 beseitigt 7 Sicherheitslücken
(max. CVSS 5.1).
Für Anwender bleibt Java 8 die von Oracle empfohlene Version.
Java 19
Am 20.09.2022 hat Oracle Java 19 (JDK) freigegeben. Im ↗Blog
der Java Platform Group berichtet Sharat Chander, Direktor für Java SE Produktmanagement, was es Neues in Java 19 gibt.
↗Release Notes
Wie üblich sind zwei Sicherheits-Updates geplant (Oktober 2022, Januar 2023), bevor Java 19 im März 2023 durch Java 20 abgelöst wird.
Am 17.01.2023 hat Oracle ein Sicherheits-Update bereitgestellt: Java 19.0.2 beseitigt zwei Sicherheitslücken
(max. CVSS 5.3).
Für Anwender bleibt Java 8 die von Oracle empfohlene Version.
Java 18
Am 22.03.2022 hat Oracle Java 18 (JDK) freigegeben. Im ↗Blog
der Java Platform Group berichtet Dalibor Topic, Leitender Produktmanager für Java SE, was es Neues in Java 18 gibt.
↗Release Notes
Wie üblich sind zwei Sicherheits-Updates geplant (April, Juli), bevor Java 18 im September 2022 durch Java 19 abgelöst wird.
Am 19.07.2022 hat Oracle ein Sicherheits-Update bereitgestellt: Java 18.0.2 beseitigt drei Sicherheitslücken
(max. CVSS 7.5).
Am 18.08.2022 hat ein Update auf Java 18.0.2.1 bereitgestellt, das einen Fehler im C2 JIT-Compiler behebt (Regression).
Für Anwender bleibt Java 8 die von Oracle empfohlene Version.
Java 17 (LTS)
Am 14.09.2021 hat Oracle Java 17 (JDK) freigegeben, nach Java 11 die zweite Version mit Langzeitunterstützung (LTS – Long Term Support). Für acht Jahre (bis September 2029) soll es Updates geben.
Im ↗Blog
der Java Platform Group berichtet Sharat Chander, Direktor für Java SE Produktmanagement, was es Neues in Java 17 gibt.
↗Release Notes
Am 16.07.2024 hat Oracle ein neues Sicherheits-Update bereitgestellt: Java 17.0.12 beseitigt 5 Sicherheitslücken
(max. CVSS 7.4).
Für kommerzielle Nutzung von Java 17 benötigen Sie für Updates ab September 2024 eine Lizenz oder ein ↗Abonnement.
Für Anwender bleibt Java 8 die von Oracle empfohlene Version.
Java 16
Am 16.03.2021 hat Oracle Java 16 (JDK) freigegeben. Wie üblich gab es zwei planmäßige Sicherheits-Updates (April, Juli), bevor Java 16 im September 2021 durch Java 17 abgelöst wurde.
Am 20.07.2021 hat Oracle ein Sicherheits-Update bereitgestellt: Java 16.0.2 beseitigt drei Sicherheitslücken
(max. CVSS 7.5).
Java 15
Am 15.09.2020 hat Oracle Java 15 (JDK) freigegeben und feiert 25 Jahre Java. Im ↗Blog
der Java Platform Group berichtet Sharat Chander, Direktor für Java SE Produktmanagement, was es Neues in Java 15 gibt. Wie üblich gab es zwei planmäßige Sicherheits-Updates, bevor Java 15 im März 2021
durch Java 16 abgelöst wurde (s.o.).
Am 20.10.2020 hat Oracle ein Sicherheits-Update bereitgestellt: Java 15.0.1 beseitigt acht Sicherheitslücken (max. CVSS 5.3).
Am 19.01.2021 hat Oracle ein Update bereitgestellt: Java 15.0.2 beseitigt jedoch keine Sicherheitslücken.
Java 14
Am 18.03.2020 hat Oracle Java 14 (JDK) freigegeben. Im ↗Blog
der Java Platform Group berichtet Sharat Chander, Direktor für Java SE Produktmanagement, was es in Java 14 Neues gibt. Es gab zwei Sicherheits-Updates (14.04.2020, 14.07.2020), bevor
Java 14 im September 2020 bereits wieder durch Java 15 abgelöst wurde (s.o.).
Am 14.07.2020 hat Oracle ein Sicherheits-Update bereitgestellt: Java 14.0.2 beseitigt acht Sicherheitslücken
(max. CVSS 8.3).
Java 13
Am 16.09.2019 hat Oracle Java 13 (JDK) freigegeben. Im ↗Blog
der Java Platform Group erläutert Sharat Chander, Direktor für Java SE Produktmanagement, welche Neuerungen Java 13 bringt. Es gab zwei Sicherheits-Updates (15.10.2019, 14.01.2020), bevor
Java 13 im März 2020 bereits wieder durch Java 14 (s.o.) abgelöst wurde.
Am 14.01.2020 hat Oracle ein Sicherheits-Update bereitgestellt: Java 13.0.2 beseitigt sieben Sicherheitslücken
(max. CVSS 8.1)
Java 12
Am 19.03.2019 hat Oracle Java 12 (JDK) freigegeben. Im ↗Blog
der Java Platform Group erläutert Sharat Chander, Direktor für Java SE Produktmanagement, welche Neuerungen Java 12 bringt. Es gab zwei Sicherheits-Updates (16.04., 16.07.), bevor Java 12
im September 2019 bereits wieder durch Java 13 (s.o.) abgelöst wurde.
Am 16.07.2019 hat Oracle ein Sicherheits-Update bereitgestellt: Java 12.0.2 beseitigt acht Sicherheitslücken
(max. CVSS 8.1).
Java 11 (LTS)
Am 25.09.2018 hat Oracle Java 11 freigegeben, die erste Version mit Langzeitunterstützung (LTS – Long Term Support). Für acht Jahre (bis September 2026) soll es Updates geben, für
zahlende Kunden mit Support-Vertrag sagt Oracle sogar eine Update-Versorgung bis mindestens Januar 2032 zu.
Im ↗Blog
der Java Platform Group führt Sharat Chander weitere Neuigkeiten auf. So ist nun etwa der Java Flight Recorder (JFR) in der quelloffenen Ausgabe (OpenJDK) enthalten.
Am 16.07.2024 hat Oracle ein neues Sicherheits-Update bereitgestellt: Java 11.0.24 beseitigt 6 Sicherheitslücken
(max. CVSS 7.4).
Für kommerzielle Nutzung von Java 11 benötigen Sie eine Lizenz oder ein ↗Abonnement.
Für Anwender bleibt Java 8 die von Oracle empfohlene Version.
Java 10
Am 20.03.2018 hat Oracle Java 10 freigegeben (GA, General Availability, allgemeine Verfügbarkeit). Im ↗Blog
der Java Platform Group beschreibt Sharat Chander einige der Neuerungen. Am 17.07.2018 hat Oracle ein Sicherheits-Update bereitgestellt:
Java 10.0.2 beseitigt sechs Sicherheitslücken (max. CVSS 8.3). Damit endet die Update-Unterstützung
für Java 10 bereits wieder – es wird durch Java 11 abgelöst.
Java 9
Am 21.09.2017 hat Oracle Java 9 (↗JDK 9) in die GA-Phase
(General Availability, allgemeine Verfügbarkeit) überführt. Java 9 soll quelloffen (GPLv2) sein und damit erzeugte Binärprogramme bis Ende 2018
↗mit
OpenJDK kompatibel werden. Oracle will zu OpenJDK einige bislang dem kommerziellen Oracle JDK vorbehaltene Features wie den Java Flight Recorder beisteuern. Java 9 bringt mit Project Jigsaw
ein Modulsystem mit. Damit wird auch Java selbst modularisiert – ein kleines Java-Programm benötigt nicht mehr das gesamte JRE.
Am 16.01.2018 hat Oracle ein Sicherheits-Update für Java 9 bereitgestellt: Java 9.0.4.
Es beseitigt 19 Sicherheitslücken (max. CVSS 8.3).
Mit dem ersten Sicherheits-Update für Java 10 am 17.04.2018 endet bereits die Update-Unterstützung für Java 9 (EOL).
Java 8
Oracle hat am 18.03.2014 die neue Hauptversion Java 8.0 (JDK 8 / JRE 8, 1.8.0) veröffentlicht.
Am 16.07.2024 hat Oracle ein Sicherheits-Update für Java 8 bereitgestellt:
Java 8 Update 421 (8u421, 1.8.0_421). Es beseitigt 6 Sicherheitslücken (max. CVSS 7.4).
Dies ist die derzeit von Oracle für Anwender empfohlene Java-Version.
Hinweis: Bei Java 8 stellt Oracle zuweilen noch eine weitere Version bereit, die eine um 1 höhere Versionsnummer trägt (z. B.: Java 8 Update 211 + 212). Diese enthält zusätzliche Bug-Fixes, ist jedoch für Anwender nicht von Bedeutung, nur für Software-Entwickler.
Seit 14. Oktober 2014 ist Java 8 die von Oracle empfohlene Standardversion für alle Anwender. Java 8 erhält für vorerst unbestimmte Zeit öffentlich verfügbare, kostenlose Sicherheits-Updates für private Anwender. Oracle will das Support-Ende 18 Monate vorher ankündigen. Unternehmen mit Support-Vertrag erhalten noch bis mindestens Ende 2030 Support und Updates – seit April 2019 sind diese Updates kostenpflichtig.
Java 7
Oracle hat am 28.07.2011 die neue Hauptversion Java 7.0 (JDK 7 / JRE 7, 1.7.0) veröffentlicht.
Das letzte öffentlich verfügbare Sicherheits-Update für Java 7 ist am 14.04.2015 erschienen (Java 7 Update 79, 7u79, 1.7.0_79).
Es behebt 11 zum Teil gravierende Sicherheitslücken in Java 7 (CVSS 10.0). Weitere Updates für Java 7 stellt Oracle seitdem nicht mehr
öffentlich bereit. Für Kunden mit kostenpflichtigem Support-Vertrag endete die erweiterte Unterstützung („Extended Support“) im Juli 2022 (EOL).
Java 6
Seit Dezember 2006 ist Java 6 (oder 1.6) erhältlich, das letzte öffentlich verfügbare >Sicherheits-Update ist Java 6 Update 45 (1.6.0_45, 6u45) vom 16.04.2013.
Java 6 hat das Ende seines Produktlebenszyklus erreicht (EOL).
Für Mac OS X stellte Apple noch eine zeitlang Updates für Java 6 bereit, s.u.
Java 1.3, 1.4 und 1.5
Die Unterstützung für Java 1.3, 1.4 und 1.5 (Java 5.0) ist bereits abgelaufen (EOL).
Java Plug-in (JRE)
Wenn in Anwenderkreisen von Java die Rede ist, geht es in aller Regel um das Java Plug-in. Die Laufzeitumgebung für Browser
(JRE) läuft ab Version Java 6 Update 10 in einem eigenen Prozess
(JVM), statt wie bislang in dem des Browsers. Voraussetzung ist Firefox ab 3.0 (und Plug-in kompatible Browser)
sowie Internet Explorer (IE) Version 6 und höher. Nachfolgende Updates sind auch in der Lage, ältere Versionen (ab 1.6_10) zu ersetzen, sie also vor der Installation zu entfernen.
Seit Java 6 Update 14 gibt es Blacklists (Sperrlisten), die etwa das Ausführen bekanntermaßen unsicherer oder schädlicher Applets verhindern sollen.
Aktuell ist stets die oben unter der jeweiligen Java-Generation angegebene Version. Sicherheits-Updates sollten unbedingt zeitnah installiert werden,
da Schwachstellen in veralteten Versionen des JRE ein Einfallstor für Malware sein können.
Aktuelle Entwicklung (ab 2017)
Oracle hat angekündigt, das JRE Plug-in in naher Zukunft nicht mehr weiterentwickeln zu wollen. Der allgemeine Trend geht zum Browser ohne Plug-ins. Microsoft Edge, Firefox (ab 52) und Google Chrome (und andere
Chromium-basierte Browser) unterstützen Java/JRE bereits nicht mehr. Windows-Nutzer können das JRE mit dem Internet Explorer 11 (IE) oder mit Firefox ESR
bis Version 52.x (veraltet) verwenden. Der auf Firefox basierende Browser Waterfox Classic enthält im Gegensatz zu Firefox weiterhin die alte NPAPI-Schnittstelle und kann damit auch das
JRE Plug-in nutzen. Dies gilt auch für Pale Moon. Java-Hauptversionen ab Java 9 kommen ohne JRE Plug-in aus. Entwickler sollten ihre Programme so bald wie möglich von Applets (Plug-in)
auf Java Web Start (JNLP) umstellen – soweit nicht bereits geschehen.
Sicherheitshinweis für Mac-Nutzer
Apple hat am 15.10.2013
↗Java für OS X 2013-005 sowie
↗Java for Mac OS X 10.6 Update 17 bereit gestellt.
Das bringt Java für Mac auf den Sicherheitsstand von Oracle Java 6 Update 65 (1.6.0_65, 6u65). Damit wird Java 6 in jedem installierten Browser deaktiviert, steht jedoch auf Systemebene weiter zur Verfügung.
↗Java for OS X 2015-001
vom 22.07.2015 enthält keine neuere Java-Version, sondern Java 6 Update 65 – wie schon Java für OS X 2014-001 und Java für OS X 2013-005. Diese Pakete sind nur
für ältere Programme („Legacy Software“ gedacht, die mit Java 7 oder 8 nicht laufen.
Seit Java 7 Update 6 (für Mac OS X ab 10.7.3), erschienen am 15.08.2012, kommt ↗Java für Mac direkt von Oracle. Java 6 für ältere Mac-Systeme (OS X 10.6) sowie für OS X (ab 10.7.3) lieferte zunächst weiterhin Apple – jedoch nur für lokale Anwendungen, nicht als Plug-in für Web-Browser (siehe vorheriger Absatz).
Hinweise für Benutzer des Internet Explorer
Microsofts eigene Java-Implementierung (Microsoft VM) wird seit 2003 nicht mehr weiterentwickelt, es gibt auch keine Sicherheits-Updates
und keinen Support mehr dafür – sie ist daher obsolet.
→weitere Infos
Für die 64-Bit-Versionen von Windows (x64) (Vista, Server 2008 und neuer) gibt es bei Microsoft eine 64-Bit-Version des Internet Explorer (IE). Um Java-Applets auszuführen, wird für diese auch die 64-Bit-Version des JRE benötigt. Standardmäßig (Auslieferungszustand) enthält Windows 64-Bit einen 32-bittigen IE. Für 32-Bit-Browser (einschließlich IE) wird auch unter 64-bittigem Windows die 32-Bit-Version des JRE benötigt. Unter Windows x64 können die 32- und 64-Bit-Fassungen des JRE bei Bedarf parallel installiert werden.
Java im Browser:
Für die Java-Unterstützung in Ihrem Browser (nur noch IE, s.o.) benötigen Sie nur das JRE (Plug-in),
nicht das SDK (bzw. JDK).
Beides erhalten Sie auf der
↗Website des Herstellers.
Wenn Sie Java auf mehr als einem Rechner installieren
oder aktualisieren wollen, laden Sie sich das Paket "Windows Offline Installation" herunter. Sie können auch die automatische
Update-Funktion benutzen, wenn Sie bereits eine Version ab 1.6.0_10 (6u10) installiert haben.
Um festzustellen, welche Java-Version auf Ihrem Rechner installiert ist, öffnen Sie ein Kommandozeilenfenster (Eingabeaufforderung, shell) und geben Sie darin den Befehl "java -fullversion" ein – alternativ geht auch "java -version". Unter Windows kommen Sie über Systemsteuerung → [Programme →] Java ebenfalls zum Ziel. Ob Java im Browser (nur noch im IE) aktiviert ist, können Sie auf dieser ↗Testseite bei Oracle feststellen, einschließlich der Version.