Oracle schließt über 50 Lücken in Java SE

SicherheitSicherheitsmanagement
Java Logo (Grafik: Oracle)

Die zum turnusmäßigen Patchday im Oktober bereit gestellten Updates beheben Probleme mit den Java-Versionen 5, 6 und 7. Zwölf der Schwachstellen stuft Oracle als kritisch ein – das heißt, Angreifer könnten sie ausnutzen um mit manipulierten Java-Anwendungen Schadcode einzuschleusen und auszuführen.

Oracle hat zum planmäßigen Oktober-Patchday Java 7 Update 45 bereit gestellt. Die Softwareaktualisierung schließt insgesamt 51 Sicherheitslücken. Sie finden sich in Java SE 7 Update 40 und früher sowie Java SE Embedded 7 Update 40 und früher. Zahlende Java-Kunden bekommen zudem auch Patches für die Versionen Java SE 6 Update 60 und früher und Java SE 5.0 Update 51 und früher.

(Bild: Peter Marwan / ITespresso)

50 der nun behobenen Lücken lassen sich über das Java-Browser-Plug-in ausnutzen – wahrscheinlich der grund dafür, dass Apple mit dem aktuellen Java-Update für seine Nutzer das Java-Plug-in rauswirft. Zwölf Schwachstellen bezeichnet Oracle als kritisch, im zehnstufigen Common Vulnerability Scoring System (CVSS) werden sie mit 10.0 bewertet. Durch Java-Web-Start-Anwendungen könnte ein Angreifer darüber Schadcode einschleusen und ausführen.

Chester Wisnieswki, Senior Security Advisor bei Sophos, kritisiert wie auch vor ihm schon viele Experten, dass Oracle Patches für seine Produkte nur viermal im Jahr bereitstellt. “Wenn dein Ruf so schlecht ist und mehr als eine Million Nutzer deinen Fehlern ausgesetzt ist, dann musst du schneller reagieren”, schreibt Wisnieswki. “Microsoft und Adobe patchen monatlich und haben im Durchschnitt zusammen weniger als 50 Anfälligkeiten pro Quartal.” Oracle müsse sich dringend mehr anstrengen.

Oracle stellt gleichzeitig auch Updates für weitere Produkte, darunter seine Datenbank, die Fusion Middleware, Enterprise Manager und MySQL zur Verfügung. In ihnen werden weitere 76 Sicherheitslücken behoben. Details zu allen betroffenen Produkten finden sich in einem Advisory. Oracles nächster regulärer Patchday findet am 14. Januar statt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen