Oracle schließt 25 Sicherheitslücken in Java

Oracle hat im Rahmen seines Oktober-Patchdays ein Update für Java 6, 7 und 8 veröffentlicht. Es beseitigt nach Angaben des Unternehmens insgesamt 25 Anfälligkeiten. 22 davon können ohne Authentifizierung, also ohne Eingabe eines Nutzernamens und Passworts, aus der Ferne ausgenutzt werden.

Allerdings stuft Oracle nur neun Schwachstellen als kritisch ein. Sie sind im zehnstufigen Common Vulnerability Scoring System (CVSS) mit mindestens 7.0 bewertet. Mithilfe nicht vertrauenswürdiger Java-Web-Start-Anwendungen könnte ein Angreifer Schadcode einschleusen und ausführen.

Eine der kritischen Lücken betrifft zudem nur das Java-Plug-in für Mozillas Browser Firefox. Auch hier könnte ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Gleiches gilt auch für einen Fehler im Java-Plug-in für Microsoft Internet Explorer. Er kann laut Oracle allerdings nicht ohne Authentifizierung ausgenutzt werden.

Für verschiedene Versionen von Oracles Datenbank-Servern stehen ebenfalls Fixes für 32 Schwachstellen zur Verfügung, von denen sechs mit 9,0 von 10 Punkten bewertet wurden. Sie erlauben, genauso wie 14 Lecks in Oracles Fusion-Middleware-Produkten, das Ausnutzen ohne Eingabe von Anmeldedaten aus der Ferne.

Ein Patch für Oracle MySQL korrigiert 24 sicherheitsrelevante Probleme, von denen drei als kritisch eingestuft sind und einem Angreifer unter Umständen den Zugriff auf Daten ermöglichen. Zudem hat Oracle auch 15 Löcher in Sun Solaris gestopft. Weitere Details zu den insgesamt 154 Sicherheitslücken, die Oracle in seinen Produkten geschlossen hat, finden sich in einem Critical Patch Update Advisory.

Im Juli hatte Oracle 113 Sicherheitslöcher in 44 Produkten gestopft. Die nächsten Critical Patch Updates sind für 20. Januar und 14. April 2015 geplant.

Download: Java Runtime Environment (JRE) 8.0 Update 25

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de