Oracle patcht Java, MySQL, Database und Fusion

Mit der neuen Version Java 7 Update 45 schließt Oracle 51 Sicherheitslücken. Sie stecken in Java SE 7 Update 40 oder früher sowie Java SE Embedded 7 Update 40 oder früher. Kunden, die für Oracle-Support bezahlen, erhalten auch Patches für die ebenfalls anfälligen Versionen Java SE 6 Update 60 oder früher und Java SE 5.0 Update 51 oder früher.

50 Lecks lassen sich über das Java-Browser-Plug-in ausnutzen. Zwölf dieser Schwachstellen stuft Oracle als kritisch ein und Oracle bewertet diese mit der höchsten Risikoeinstufung (CVSS 10.0). So können hier über Java-Web-Start-Anwendungen auf ein System Schadcode eingeschleust und ausgeführt werden.

“Die meisten Sicherheitslecks konzentrieren sich auf Java-Clients, die auf Desktops und Laptops installiert sind”, schreibt Wolfgang Kandek, CTO des Sicherheitsanbieters Qualys, in einem Blog. Mit CVE-2013-5782 und CVE-2013-5830 gebe es aber auch zwei sehr kritische Fehler in Server-Installationen. Kandek rät allen betroffenen Oracle-Kunden, ihre Maschinen so schnell wie möglich zu aktualisieren.

Chester Wisnieswki, Senior Security Advisor bei Sophos, kritisiert erneut, dass Oracle nur viermal im Jahr Patches bereitstellt. “Wenn dein Ruf so schlecht ist und mehr als eine Million Nutzer deinen Fehlern ausgesetzt sind, dann musst du schneller reagieren”, kommentiert er in einem Blog. “Microsoft und Adobe patchen monatlich und haben im Durchschnitt zusammen weniger als 50 Schwachstellen pro Quartal.” Oracle müsse hier dringend nachbessern, fordert der Sicherheitsexperte. Allerdings wird Oracle seit Jahren für die Haltung gegenüber Sicherheitslecks kritisiert.

Darüber hinaus stellt Oracle auch Updates für Database, Fusion Middleware, Enterprise Manager und MySQL zur Verfügung. So sind zum Beispiel Oracle Database 11g Release 1, Version 11.1.0.7, Release 2, Versionen 11.2.0.2, 11.2.0.3 und auch Version 12.1.0.1 der 12c Betroffen. Auch die Oracle E-Business Suite R 11i und 12 sind von einem Leck betroffen, wie Oracle mitteilt. Insgesamt behebt Oracle damit weitere 76 Sicherheitslecks. Details zu allen betroffenen Produkten finden sich in einem Advisory. Oracles nächster regulärer Patchday findet am 14. Januar statt.

Apple hatte für OS X 10.7 Lion oder höher schon zuvor ein Sicherheitsupdate für Java SE 6 veröffentlicht. Version 1.6.0_65 schließt einige Lücken in der Laufzeitumgebung und verbessert die Kompatibilität. Gleichzeitig wird aber auch das Browser-Plug-in entfernt, so dass Webseiten, die ein Java-Applet ausführen wollen, einen Hinweis “Fehlendes Java-Plug-in” anzeigen. Damit will Apple Nutzer zum Umstieg auf Oracles Java Runtime bewegen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de