Stürmischer Oktober-Patchday bei Oracle

Oracles Oktober-Patchday (Critical Patch Update, CPU) hat es in sich: Der Software-Hersteller schließt fast 140 Schwachstellen in etlichen Produkten. Allein in Java hat das Unternehmen insgesamt 30 Lücken abgedichtet, durch 29 davon ist das Worst-Case-Szenario möglich: das Einschleusen von Schadcode aus der Ferne, etwa durch verseuchte Webseiten. Ebenfalls abgesichert wurden Oracle Database, die Fusion-Middleware, MySQL, Solaris, VirtualBox und viele weitere.

Die Java-Lücken betreffen die Versionen alle Versionszweige ab 5.0, 1.4.2_38 (und früher) sowie die dazugehörigen Entwicklerkits. Auch das JavaFX-Framework wurde abgedichtet. Die Entdeckung der meisten Schwachstellen in Java geht auf das Konto des polnischen Sicherheitsforschers Adam Gowdiak, der im Rahmen seines Projekts SE-2012-01 im Laufe des Jahres bereits zahlreiche kritische Lücken aufgespürt und vertraulich an Oracle gemeldet hat.

Gegenüber heise Security merkte Gowdiak an, dass ein kritisches Sicherheitsloch, das einen Ausbruch aus der Java-Sandbox erlaubt, allerdings weiterhin in Java klafft. Oracle erklärte Gowdiak seinen Angaben zufolge, dass das Unternehmen bereits in der finalen Testphase der Oktober-Patches war, als er die Schwachstelle meldete. Diese und eine weitere, weniger schwerwiegende Lücke sollen daher erst zum nächsten planmäßigen Java-Patchday am 19. Februar 2013 geschlossen werden.

Java-Lücken werden vor allem über speziell präparierte Webseiten ausgenutzt, welche das Java-Plug-in des Browsers angreifen. Wer auf das Java-Plug-in verzichten kann, sollte es daher am besten abschalten – eine Empfehlung, der sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) angeschlossen hat. Ob man derzeit mit einem Browser surft, der auf das Java-Plug-in zugreifen kann, verrät der heisec Browsercheck.

Die derzeit aktuelle Java-Version 7 Update 9 findet man auf Oracles Java-Site. Oracle empfiehlt betroffenen Anwendern und Admins, die Patches so schnell wie möglich zu installieren. (rei)