1933283

Java-Update beseitigt 37 Sicherheitslücken

16.04.2014 | 14:41 Uhr |

Oracle stellt wichtige Sicherheits-Updates bereit, die insgesamt 104 Sicherheitslücken in verschiedenen Produkten des Herstellers beseitigen. Allein 37 Lücken entfallen auf Java, weitere Schwachstellen betreffen etwa MySQL, VirtualBox, Fusion Middleware oder PeopleTools.

Der Software-Hersteller Oracle veröffentlicht für seine Produktpalette alle drei Monate planmäßige Sicherheits-Updates, die er als "Critical Patch Updates" (CPU) bezeichnet. Gestern war bei Oracle der zweite CPU-Termin dieses Jahres, das Unternehmen hat wichtige Updates bereit gestellt, die insgesamt 104 Sicherheitslücken schließen.

Oracle bemisst den Schweregrad einer Schwachstelle nach dem Common Vulnerability Scoring Standard (CVSS) 2.0, mit Einstufungen von 0.0 bis zum Höchstwert 10.0. Der CVSS Score ergibt sich etwa daraus, wie leicht eine Lücke ausnutzbar ist, welche Folgen das haben kann, ob die Lücke nur lokal oder über das Netzwerk ausnutzbar ist und ob dazu gültige Anmeldedaten nötig sind.

In Oracles Flaggschiff, dem Datenbank-Server, haben die Entwickler zwei Schwachstellen beseitigt. Die schwerer wiegende der beiden Lücken trägt den CVSS Score 8.5, der allerdings nur für Windows gilt. Ein Angreifer, der diese Lücke ausnutzt, könnte die vollständige Kontrolle über das System erlangen. Dazu müsste er allerdings über gültige Anmeldedaten verfügen. Auf anderen Betriebssystemen könnte er nur die Datenbank kompromittieren, der CVSS Score reduziert sich auf 6.0, etwa für Linux oder Solaris.

Vor gerade einmal vier Wochen hat Oracle Java 8 SE (Standard Edition) offiziell freigegeben, das Entwicklern zum Teil lang erwartete neue Möglichkeiten bietet. Gestern gab es gleich das erste Sicherheits-Update auf Java 8 Update 5, das 37 Schwachstellen behebt. Java 7 ist von 34 dieser Sicherheitslücken betroffen, die in Java 7 Update 55 beseitigt sind. Neun Lücken tragen den CVSS Score 10.0 oder 9.3, 29 Schwachstellen betreffen nur Client-Installationen. Normale Internet-Nutzer sollten einstweilen bei Java 7 bleiben, bis Anwendungen erscheinen, die Java 8 erfordern.

In Fusion Middleware hat Oracle 20 Lücken geschlossen, in PeopleSoft PeopleTools acht, in Virtualisierungsprodukten, darunter VirtualBox, fünf Lücken. In der Datenbank MySQL hat Oracle 14 Schwachstellen beseitigt. Eine ausführliche Übersicht finden Sie im Oracle Critical Patch Update Advisory für April 2014 .

0 Kommentare zu diesem Artikel
1933283