Oracle CPU - Critical Patch Updates

Oracle schließt 51 Java-Lücken

Oracle hat bei seinem vierteljährlichen Patch Day Sicherheits-Updates bereitgestellt, die 127 Sicherheitslücken schließen sollen. Darunter sind auch 51 Schwachstellen in Java, die mit der neuen Version Java 7 Update 45 behoben werden.

Viermal im Jahr stellt der Software-Hersteller Oracle Sicherheits-Updates für seine gesamte Produktpalette bereit, die so genannten Critical Patch Updates (CPU). Das am 15. Oktober veröffentlichten CPU Advisory führt eine lange Liste betroffener Software auf, darunter nun auch Java SE, das bislang einem eigenen Turnus folgte. In Java hat Oracle 51 Schwachstellen behoben, von denen beinahe alle ohne Benutzeranmeldung über ein Netzwerk ausgenutzt werden könnten.

Oracle benutzt zur Einstufung der Sicherheitslücken den CVSS Score (Common Vulnerability Scoring System), dessen Höchstwert bei 10.0 liegt. Eine Schwachstelle mit CVSS Score 10.0 ermöglicht es einem Angreifer ohne Anmeldung über das Netzwerk Code einzuschleusen, mit dem er die Kontrolle über das gesamte System erlangen kann, falls der Code mit Admin-Rechten ausgeführt wird.

Die Risk Matrix für Java SE führt 12 Sicherheitslücken mit CVSS Score 10.0 auf sowie weiter neun mit dem Score 9.3, was auch nicht wesentlich weniger problematisch ist. Die meisten Lücken betreffen auch und vor allem das Browser-Plugin JRE (Java Runtime Environment), können also über präparierte Web-Seiten ausgenutzt werden.

Neben Java 7 sind auch die älteren Java-Generationen 5 und 6 anfällig. Für diese Java-Versionen stellt Oracle jedoch keine öffentlichen Updates mehr zur Verfügung, der Support ist abgelaufen. Lediglich zahlende Oracle-Kunden erhalten weiterhin Updates. Mac-Anwendern liefert Apple allerdings auch weiterhin die aktuelle Java-6-Version. Java for OS X 2013-005 sowie Mac OS X v10.6 Update 17 installieren Java 6 Update 65, entfernen allerdings ein vorhandenes Browser-Plugin. Java 6 steht also nur für lokale Anwendungen zur Verfügung. Für die Java-Nutzung im Browser müssen sich auch Mac-Nutzer das aktuelle JRE 7 bei Oracle holen.

Wer auf Java im Browser angewiesen ist, sollte sein System umgehend auf Java 7 Update 45 aktualisieren. Wer Java an sich nicht benötigt, sollte es deinstallieren, um nicht Online-Kriminellen mit einer veralteten Java-Installation eine Angriffsfläche zu bieten. Lücken in alten Java-Versionen sind nach wie vor ein beliebtes Einfallstor für Malware. Der nächste planmäßige Termin für Oracle CPU ist am 14. Januar 2014. (PC Welt/mje)