Juli-Patchday für Java schließt 13 Sicherheitslücken
Vier davon werden auf einer Skala von 1 bis 10 mit 9,6 Punkten bewertet. Angreifer können sie ohne Authentifizierung aus der Ferne ausnutzen. Insgesamt behebt Oracle in seinen Produkten, darunter auch MySQL, Virtualbox und den Datenbankservern, 276 Schwachstellen.
Im Zuge seines planmäßigen Juli-Patchdays schließt Oracle in seinen Produkten insgesamt 276 Schwachstellen. 13 davon entfallen auf Java SE. Davon könnten Angreifer neun aus der Ferne und ohne Authentifizierung ausnutzen. Fehlerhaft sind die Versionen 6 Update 115 und früher, 7 Update 101 und früher sowie 8 Update 92 und früher für Windows, Mac OS X und Linux. Die sicherheitsrelevanten Fehler stecken auch in Java SE Embedded 8 Update 91 und JRockit R28.3.10.
Vier der Sicherheitslücken in Java lassen sich über das Netzwerk ausnutzen. Da Oracle die Komplexität eines Angriffs als “gering” einstuft und sie im zehnstufigen Common Vulnerability Scoring System (CVSS) mit 9,6 Punkten eingestuft werden, ist es wahrscheinlich, dass sie schon bald von Kriminellen ausgenutzt werden. Nutzer sollten das Update also umgehend einspielen.
Oracle empfiehlt den Umstieg auf Java SE 8 Update 102. Updates für Java SE 6 und 7 bekommen nur noch Kunden, die Java-Support erworben haben. Die Patches werden über die Java-Website und die automatische Update-Funktion von Java für Windows und Mac OS X verteilt.
Im Rahmen des Juli-Patchday liefert Oracle auch zahlreiche sicherheitsrelevante Fixes für seinen Datenbank-Server, Fusion Middleware, Enterprise Manager Grid Control, die E-Business Suite und die Supply Chain Products Suite. Auch für Software von PeopleSoft, JD Edwards, Siebel und Sun Systems liegen Patches vor.
In MySQL werden 22 Lücken behoben. Bei der Datenbanksoftware sind die Versionen 5.5.49, 5.6.30 und 5.7.12 und früher betroffen. Ebenfalls anfällig ist Virtualbox 5.0.26 und früher. Bei beiden könnten Angreifer Schadcode über das Netzwerk einschleusen und ausführen.
Oracle liefert planmäßig viermal im Jahr Patches für seine Produkte. Im Januar 2016 waren es insgesamt 248, im April 136. Der nächste reguläre Oracle-Patchday in diesem Jahr ist für den 18. Oktober geplant. Bei Bedarf gibt es aber auch außerplanmäßige Patches. Für Java SE wurde im März solch einer ausgeliefert. Die damit geschlossene Lücke hätte ausgenutzt werden können, um ein System vollständig zu übernehmen. Dennoch wird Oracle von Sicherheitsexperten und insbesondere in Bezug auf Java, immer wieder für die langen Zeiträume zwischen den Patches gerügt. Andere Hersteller, die ähnlich weit verbreitete Software pflegen, darunter Microsoft und Adobe aber inzwischen auch Google, liefern monatlich Sicherheits-Updates für ihre Produkte.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.