1753669

Oracle Patch Day

Oracle beseitigt 42 Java-Schwachstellen

17.04.2013 | 14:58 Uhr |

Bei seinem großen Patch Day hat Oracle gestern Abend neue Sicherheits-Updates für Java bereit gestellt. Auch in etlichen anderen seiner Produkte hat der Software-Hersteller insgesamt mehr als 100 Sicherheitslücken behoben.

Im April sind die Update-Termine für Java einerseits und andere Oracle-Produkte andererseits, die einem jeweils eigenen Turnus folgen, auf einen Tag gefallen. Dies hat zur Folge, dass die bereit gestellten Sicherheits-Updates nicht nur 42 Java-Lücken stopfen, sondern auch 128 Schwachstellen in diverser anderer Oracle-Software, bis hin zur Datenbank MySQL.

Oracle hat Java 7 Update 21 veröffentlicht – bereits das fünfte Java-Update in diesem Jahr. Von den 42 geschlossenen Lücken sind 39 ohne Anmeldung über das Netz ausnutzbar, 19 tragen den höchsten CVSS-Score 10.0. Alle 42 Schwachstellen betreffen das Browser-Plug-in JRE (Java Runtime Environment), zwei auch Server-Installationen. Unter den gestopften Lücken sind auch diejenigen, die im März beim Hacker-Wettbewerb Pwn2own aufgedeckt wurden.

Entgegen eigenen Ankündigungen, dass Java 6 ab Februar nicht mehr durch öffentlich verfügbare Updates unterstützt würde, hat Oracle Java 6 Update 45 bereit gestellt. Darin hat Oracle diejenigen 24 Lücken beseitigt, die auch Java 6 betreffen. Ob dies nun tatsächlich die letzte Aktualisierung für Java 6 sein wird, bleibt abzuwarten. Auch Anfang März war Oracle bereits von seiner offiziellen Linie abgewichen, um Java 6 Update 43 zu veröffentlichen.

Oracle hat außerdem das Verhalten des Java Plug-ins verändert, um Anwendern mehr Sicherheit vor schädlichen Applets zu bieten. Abhängig von Faktoren wie der installierten Java-Version und dem potenziellen Risiko, das etwa von einem unsignierten Applet oder einem Applet mit ungültigem Zertifikat ausgeht, zeigt das Plug-in vor dem Laden eines Applets eine Dialogbox an. Anwendern sollen dann eine bewusste Entscheidung treffen können, ob sie das Applet ausführen wollen.

Die Palette der Anwendungen, die von einer oder mehreren der 128 Schwachstellen betroffen sind, die Oracle in seinen anderen Produkten geschlossen hat, reicht von der Oracle Database über Fusion Middleware, E-Business Suite und PeopleSoft bis MySQL. Allein in MySQL hat Oracle 25 Lücken gestopft, in Fusion Middleware 29.

Der nächste Update-Termin für Java ist bereits am 18. Juni, für die übrige Oracle-Software am 16. Juli. Ab Oktober soll Java dann dem dreimonatlichen Turnus der anderen Oracle-Produkte folgen – zumindest für die planmäßigen Aktualisierungen.

0 Kommentare zu diesem Artikel
1753669