Oracle hat an seinem Oktober-Patchday auch ein Update für Java SE veröffentlicht. Die neue Version Java 7 Update 45 schließt insgesamt 51 Sicherheitslücken. Sie stecken in Java SE 7 Update 40 oder früher sowie Java SE Embedded 7 Update 40 oder früher. Kunden, die für Oracle-Support bezahlen, erhalten auch Patches für die ebenfalls anfälligen Versionen Java SE 6 Update 60 oder früher und Java SE 5.0 Update 51 oder früher.
50 Anfälligkeiten lassen sich über das Java-Browser-Plug-in ausnutzen. Zwölf Schwachstellen stuft Oracle als kritisch ein. Sie sind im zehnstufigen Common Vulnerability Scoring System (CVSS) mit 10.0 bewertet. Mithilfe nicht vertrauenswürdiger Java-Web-Start-Anwendungen könnte ein Angreifer Schadcode einschleusen und ausführen.
„Die meisten Sicherheitslecks konzentrieren sich auf Java-Clients, die auf Desktops und Laptops installiert sind“, schreibt Wolfgang Kandek, CTO des Sicherheitsanbieters Qualys, in einem Blogeintrag. Mit CVE-2013-5782 und CVE-2013-5830 gebe es aber auch zwei sehr kritische Fehler in Server-Installationen. Kandek rät allen betroffenen Oracle-Kunden, ihre Maschinen so schnell wie möglich zu aktualisieren.
Chester Wisnieswki, Senior Security Advisor bei Sophos, kritisiert erneut, dass Oracle nur viermal im Jahr Patches für seine Produkte bereitstellt. „Wenn dein Ruf so schlecht ist und mehr als eine Million Nutzer deinen Fehlern ausgesetzt sind, dann musst du schneller reagieren“, kommentiert er in einem Blogeintrag. „Microsoft und Adobe patchen monatlich und haben im Durchschnitt zusammen weniger als 50 Schwachstellen pro Quartal.“ Oracle müsse seine Bemühungen dringend verstärken.
Darüber hinaus stellt Oracle auch Updates für weitere Produkte, darunter Database, Fusion Middleware, Enterprise Manager und MySQL zur Verfügung. Sie stopfen weitere 76 Löcher. Details zu allen betroffenen Produkten finden sich in einem Advisory. Oracles nächster regulärer Patchday findet am 14. Januar statt.
Apple hatte für OS X 10.7 Lion oder höher schon zuvor ein Sicherheitsupdate für Java SE 6 veröffentlicht. Version 1.6.0_65 schließt einige Lücken in der Laufzeitumgebung und verbessert die Kompatibilität. Gleichzeitig wird aber auch das Browser-Plug-in entfernt, so dass Webseiten, die ein Java-Applet ausführen wollen, einen Hinweis „Fehlendes Java-Plug-in“ anzeigen. Damit will Apple Nutzer zum Umstieg auf Oracles Java Runtime bewegen.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
