Oracle Patch Day

Java-Update stopft 51 Lücken

Oracle hat seine Quartals-Updates veröffentlicht, die insgesamt 127 Sicherheitslücken schließen sollen. Darunter sind auch 51 Schwachstellen in Java, die fast alle über das Netz ausnutzbar sind.

Java-Update stopft 51 Lücken

© Oracle

Java-Update stopft 51 Lücken

Wenn Oracle alle drei Monate seinen CPU-Tag (Critical Patch Updates) abhält, sind ab sofort auch Java-Updates dabei. Bis Juni folgte Java einem eigenen, viermonatigen Update-Turnus. Mit den Updates vom 15. Oktober schließt Oracle 127 Sicherheitslücken in vielen Produkten wie etwa der Oracle Datenbank, Fusion Middleware, Peoplesoft Enterprise, MySQL und eben Java.

Von den 51 Lücken, die Java 7 Update 45 (7u45, 1.7.0_45) beseitigt, sind 50 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Den höchsten CVSS-Score 10.0 tragen 12 dieser Schwachstellen, weitere neun liegen mit 9.3 knapp darunter. Das bedeutet, falls eingeschleuster Code mit Administratorrechten ausgeführt wird, kann der Angreifer die volle Kontrolle über das System übernehmen. Die meisten Lücken betreffen auch das Plug-in für Web-Browser, das JRE (Java Runtime Environment).

Oracles Risk Matrix für Java SE führt bei vielen der Schwachstellen auch die älteren Java-Generationen 5 und 6 als betroffen auf. Doch Updates für diese erhalten nur noch zahlende Support-Kunden sowie solche mit Oracle-Produkten, die Java erfordern. Die einzige Ausnahme sind Mac-Anwender, denen Apple in Eigenregie auch Updates für Java 6 zur Verfügung stellt. Java for OS X 2013-005 und Mac OS X v10.6 Update 17 enthalten Java 6 Update 65, jedoch nicht als Plug-in für den Browser, sondern nur auf Systemebene für lokale Anwendungen. Das JRE müssen sich auch Mac-Nutzer bei Oracle herunter laden, wo sie ebenfalls Java 7 Update 45 erhalten.

Da Sicherheitslücken in veralteten Java-Installationen, namentlich des JRE, zu den wichtigsten Einfallstoren für Malware zählen, sollten private Nutzer ihre Java-Installation regelmäßig auf den neuesten Stand bringen.

Mehr zum Thema

Windows Update: Screenshot