Oracle schließt 25 Sicherheitslücken in Java

Sie stecken in den Versionen 6, 7 und 8. Neun Java-Schwachstellen erlauben das Einschleusen und Ausführen von Schadcode. Jeweils ein Leck steckt ausschließlich in den Plug-ins für Mozilla Firefox und Microsoft Internet Explorer.

Oracle hat im Rahmen seines Oktober-Patchdays ein Update für Java 6, 7 und 8 veröffentlicht. Es beseitigt nach Angaben des Unternehmens insgesamt 25 Anfälligkeiten. 22 davon können ohne Authentifizierung, also ohne Eingabe eines Nutzernamens und Passworts, aus der Ferne ausgenutzt werden.

JavaAllerdings stuft Oracle nur neun Schwachstellen als kritisch ein. Sie sind im zehnstufigen Common Vulnerability Scoring System (CVSS) mit mindestens 7.0 bewertet. Mithilfe nicht vertrauenswürdiger Java-Web-Start-Anwendungen könnte ein Angreifer Schadcode einschleusen und ausführen.

Eine der kritischen Lücken betrifft zudem nur das Java-Plug-in für Mozillas Browser Firefox. Auch hier könnte ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Gleiches gilt auch für einen Fehler im Java-Plug-in für Microsoft Internet Explorer. Er kann laut Oracle allerdings nicht ohne Authentifizierung ausgenutzt werden.

Für verschiedene Versionen von Oracles Datenbank-Servern stehen ebenfalls Fixes für 32 Schwachstellen zur Verfügung, von denen sechs mit 9,0 von 10 Punkten bewertet wurden. Sie erlauben, genauso wie 14 Lecks in Oracles Fusion-Middleware-Produkten, das Ausnutzen ohne Eingabe von Anmeldedaten aus der Ferne.

Ein Patch für Oracle MySQL korrigiert 24 sicherheitsrelevante Probleme, von denen drei als kritisch eingestuft sind und einem Angreifer unter Umständen den Zugriff auf Daten ermöglichen. Zudem hat Oracle auch 15 Löcher in Sun Solaris gestopft. Weitere Details zu den insgesamt 154 Sicherheitslücken, die Oracle in seinen Produkten geschlossen hat, finden sich in einem Critical Patch Update Advisory.

Im Juli hatte Oracle 113 Sicherheitslöcher in 44 Produkten gestopft. Die nächsten Critical Patch Updates sind für 20. Januar und 14. April 2015 geplant.

Download: Java Runtime Environment (JRE) 8.0 Update 25

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Datenbank, Java, Oracle, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Oracle schließt 25 Sicherheitslücken in Java

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *