Oracle hat am Dienstag mit seinem jüngsten Critical Patch Update wie angekündigt 144 Sicherheitslücken in 47 seiner Produkte geschlossen. Allein 36 Fixes gibt es für Java SE.
Wie Oracle in einem Vorab-Advisory bereits ausführte, lassen sich Dutzende der jetzt beseitigten Schwachstellen aus der Ferne und ohne Eingabe von Anmeldedaten ausnutzen. Das trifft auf 34 Lücken in Java SE, eine in Oracles E-Business Suite, sechs in Oracle Supply Chain, zehn in PeopleSoft Enterprise und eine in Siebel CRM zu. Eine vollständige Liste betroffener Produkte hat Oracle in einem aktualisierten Advisory veröffentlicht.
Das Unternehmen fordert Nutzer auf, die mit dem Januar-Update bereitgestellten 144 Fixes schnellstmöglich einzuspielen. Allerdings hat nur eine Handvoll die höchste Risikobewertung 10 von 10 erhalten. Dazu zählen Patches für fünf Anfälligkeiten in clientseitigen Deployments von Java SE (CVE-2014-0410, CVE-2014-0415, CVE-2013-5907, CVE-2014-0428, CVE-2014-0422), die sich nur durch Java-Web-Start-Anwendungen und Java-Applets in einer Sandbox ausnutzen lassen. Weitere als höchst kritisch eingestufte Sicherheitslöcher finden sich in Oracle WebCenter Sites als Teil der Fusion Middleware (CVE-2013-4316), der Banking-Software Flexcube (CVE-2013-4316) und dem MySQL Enterprise Monitor (CVE-2013-4316).
Eine der fünf schwersten Java-Schwachstellen betrifft auch die serverseitige Softwareverteilung. „Das heißt, sie kann ausgenutzt werden, indem Daten an APIs einer bestimmten Komponente übermittelt werden, ohne Java-Web-Start-Applikationen oder Java-Applets in einer Sandbox zu verwenden“, erläutert Eric P. Maurice, Oracles Director of Software Security Assurance. Außerdem beträfen zwei der kritischen Java-SE-Fixes Java 7 Update 45 für Apples Plattform (CVE-2014-0385 und CVE-2014-0408).
Maurice führt weiterhin aus, dass es einen kritischen Fix für Oracles Business-Intelligence-Lösung Hyperion gebe, die zwei Patches erhalten habe. „Eine dieser Anfälligkeiten (CVE-2013-3830) hat die CVSS-Basisbewertung 7.1, was für eine vollständige Kompromittierung bei einem erfolgreichen Exploit steht, aber auch eine einmalige Authentifizierung durch den Angreifer voraussetzt.“
Oracles nächstes vierteljährliches Critical Patch Update ist für den 15. April angesetzt. Die weiteren Termine sind 15. Juli, 14. Oktober und 20. Januar 2015.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…