Oracle nennt Details zu den wichtigsten Sicherheitsupdates im Januar

Wie angekündigt schließt es 144 Lücken in 47 seiner Produkte. Allein 36 Fixes gibt es für Java SE. Fünf davon haben mit 10 von 10 Punkten die höchste Risikoberwertung erhalten. Sie lassen sich ohne Authentifizierung aus der Ferne ausnutzen.

Oracle hat am Dienstag mit seinem jüngsten Critical Patch Update wie angekündigt 144 Sicherheitslücken in 47 seiner Produkte geschlossen. Allein 36 Fixes gibt es für Java SE.

Wie Oracle in einem Vorab-Advisory bereits ausführte, lassen sich Dutzende der jetzt beseitigten Schwachstellen aus der Ferne und ohne Eingabe von Anmeldedaten ausnutzen. Das trifft auf 34 Lücken in Java SE, eine in Oracles E-Business Suite, sechs in Oracle Supply Chain, zehn in PeopleSoft Enterprise und eine in Siebel CRM zu. Eine vollständige Liste betroffener Produkte hat Oracle in einem aktualisierten Advisory veröffentlicht.

oracle

Das Unternehmen fordert Nutzer auf, die mit dem Januar-Update bereitgestellten 144 Fixes schnellstmöglich einzuspielen. Allerdings hat nur eine Handvoll die höchste Risikobewertung 10 von 10 erhalten. Dazu zählen Patches für fünf Anfälligkeiten in clientseitigen Deployments von Java SE (CVE-2014-0410, CVE-2014-0415, CVE-2013-5907, CVE-2014-0428, CVE-2014-0422), die sich nur durch Java-Web-Start-Anwendungen und Java-Applets in einer Sandbox ausnutzen lassen. Weitere als höchst kritisch eingestufte Sicherheitslöcher finden sich in Oracle WebCenter Sites als Teil der Fusion Middleware (CVE-2013-4316), der Banking-Software Flexcube (CVE-2013-4316) und dem MySQL Enterprise Monitor (CVE-2013-4316).

Eine der fünf schwersten Java-Schwachstellen betrifft auch die serverseitige Softwareverteilung. „Das heißt, sie kann ausgenutzt werden, indem Daten an APIs einer bestimmten Komponente übermittelt werden, ohne Java-Web-Start-Applikationen oder Java-Applets in einer Sandbox zu verwenden“, erläutert Eric P. Maurice, Oracles Director of Software Security Assurance. Außerdem beträfen zwei der kritischen Java-SE-Fixes Java 7 Update 45 für Apples Plattform (CVE-2014-0385 und CVE-2014-0408).

Maurice führt weiterhin aus, dass es einen kritischen Fix für Oracles Business-Intelligence-Lösung Hyperion gebe, die zwei Patches erhalten habe. „Eine dieser Anfälligkeiten (CVE-2013-3830) hat die CVSS-Basisbewertung 7.1, was für eine vollständige Kompromittierung bei einem erfolgreichen Exploit steht, aber auch eine einmalige Authentifizierung durch den Angreifer voraussetzt.“

Oracles nächstes vierteljährliches Critical Patch Update ist für den 15. April angesetzt. Die weiteren Termine sind 15. Juli, 14. Oktober und 20. Januar 2015.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Java, Oracle, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Oracle nennt Details zu den wichtigsten Sicherheitsupdates im Januar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *