Oracle-Patchday behebt 25 Java-Sicherheitslücken
Betroffen sind die Java-Versionen 6, 7 und 8. Angreifer können neun Schwachstellen ausnutzen, um Schadcode einzuschleusen und auszuführen. Ausschließlich in den Plug-ins für Mozilla Firefox und Microsoft Internet Explorer befindet sich jeweils eine Anfälligkeit.
Oracle hat ein Update für Java 6, 7 und 8 zum Download bereitgestellt. Insgesamt 25 Sicherheitslücken werden mit dem Update behoben. Davon lassen sich 22 Schwachstellen ohne Authentifizierung, also ohne Eingabe eines Nutzernamens und Passworts, aus der Ferne ausnutzen.
Nur neun der Sicherheitslücken stuft Oracle als kritisch ein. Im zehnstufigen Common Vulnerability Scoring System (CVSS) erhalten sie eine Mindestbewertung von 7.0. Angreifer können mit nicht vertrauenswürdigen Java-Web-Start-Anwendungen Schadcode einschleusen und ausführen.
Von einer der kritischen Schwachstellen ist nur das Java-Plug-in für Mozillas Browser Firefox betroffen. Angreifer könnten mit ihr ebenfalls die Kontrolle über ein anfälliges System übernehmen. Dies trifft auch auf einen Fehler im Java-Plug-in für Microsoft Internet Explorer zu. Allerdings könne er nach Aussagen von Oracle nicht ohne Authentifizierung ausgenutzt werden.
Darüber hinaus hat Oracle Fixes für 32 Schwachstellen in unterschiedlichen Versionen der Datenbank-Server veröffentlicht. Sechs davon erhielten eine Bewertung von 9.0 von 10 Punkten. Sie ermöglichen, genauso wie 14 Lücken in Oracles Fusion-Middleware-Produkten, das Ausnutzen ohne Eingabe von Anmeldedaten aus der Ferne.
24 sicherheitsrelevante Probleme behebt ein weiterer Patch für Oracle MySQL. Davon gelten drei als kritisch. Angreifer könnten sie unter Umständen ausnutzen, um auf Daten zuzugreifen. In Solaris beseitigt Oracle 15 Anfälligkeiten. In einem Critical Patch Update Advisory führt Oracle weitere Details zu den insgesamt 154 Sicherheitslücken auf, die der Konzern in den eigenen Produkten geschlossen hat.
Oracle hatte im Juli 113 Schwachstellen in 44 Produkten behoben. Die nächsten Critical Patch Updates sind für 20. Januar und 14. April 2015 geplant.
Download: Java Runtime Environment (JRE) 8.0 Update 25
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de