Oracle schließt 193 Lecks
200 Verwundbarkeiten in verschiedenen Produkten schließt Oracle jetzt mit dem vierteljährlichen Update. Darunter auch ein prominentes und kritisches Sicherheitsleck in Java.
Oracle veröffentlicht Updates für 193 Verwundbarkeiten in Oracle-Produkten. Neben verschiedenen anderen Produkten veröffentlicht Oracle mehr als 20 Patches alleine für Java. Unter den geschlossenen Lecks befindet sich auch eine Zero-Day-Verwundbarkeit, die bereits für Attacken ausgenutzt wird.
Zu den betroffenen Produkten gehören außerdem die Oracle Database, Fusion Middleware, Hyperion, Enterprise Manager, die E-Business Suite, die Supply Chain Suite von Oracle, PeopleSoft Enterprise, Siebel CRM, Communications Applications, die Oracle Sun Systems Products Suite, Das Oracle Linux, Oracle Virtualization sowie MySQL.
Unter den Patches sind 25 Fixes für Oracle Java Standard Edition, von denen sich 23 remote und ohne Authentifizierung ausnutzen lassen. 16 Updates beschränken sich auf Clients, fünf betreffen Client und Server und ein Fix behebt ein Problem bei der Installation von Java SE, einen weiteren gibt es für Mac.
Vier dieser Updates richten sich auch an den JSSE-Client und Server-Deployments. “Bitte beachten! Dieses kritische Update adressiert auch einen eben bekannt gewordenen Zero-Day-Fehler (CVE-2015-2590), der auch schon ausgenutzt wird”, erklärt Eric Maurice von Oracle in einem Blog.
Dieses Leck wurde unter anderem für Spionage-Attacken auf das Militär eines Nato-Staates sowie auf eine US-Behörde ausgenutzt. Dafür setzten die Angreifer auf Phishing-Mails. Oracle hatte bei Bekanntwerden der von Trend Micro entdeckten Lücke, den Nutzern geraten, die Java-Laufzeitumgebung zu deaktivieren.
Zudem weist Oracle im Rahmen des Patch-Days noch einmal darauf hin, dass Nutzer den außerplanmäßigen Patch vom Mai einspielen sollen, der die so genannte Venom-Lücke behebt. Die Sicherheitslücke tritt in dem QEMU Virtual Floppy Disc Controller auf. Viele Virtualisierungsprodukte nutzen diesen Controller und das Leck lässt sich von einem angemeldeten Nutzer ausführen – allerdings nicht remote. Dennoch kann ein Angreifer damit über die Rechte für ein Gast-System auf den Hypervisor-Prozess auf dem Host-System zugreifen, vor allem für Hosting-Anbieter stellt das ein erhebliches Sicherheitsproblem dar.