Oracle Critical Patch Update schließt 154 Sicherheitslücken

Oracle hat sein viertes Quartals-Sammel-Update veröffentlicht und stopft 154 Sicherheitslücken in vielen Produkten seines Software-Portfolios. Viele Schwachstellen sind als kritisch eingestuft. Eine Lücke sollen Angreifer für erfolgreiche Attacken ausgenutzt haben.

Das Update für Oracle Database soll acht Schwachstellen abdichten. Vier Lücke davon gelten als besonders kritisch und weisen eine CVSS-Einstufung zwischen neun bis zehn auf. Über die Schwachstellen könnten Angreifer Computersysteme aus der Ferne ohne Authentifikation attackieren und im schlimmsten Fall übernehmen, warnt Oracle.

Auch die Oracle Sun Systems Production Suite ist aus dem Internet angreifbar. Die Lücke (CVE-2015-4863) klafft Oracle zufolge im Integrated Lights Out Manager (ILOM) und hat die höchste CVSS-Einstufung von zehn erhalten. Oracle empfiehlt Nutzern das ILOM-Interface vor öffentlichen Zugriffen über das Internet abzusichern und die Anwendung zügig zu aktualisieren.

Sorgenkind Java im Fokus von Angreifern

Natürlich kommt auch Java nicht ohne Patches weg. 25 Lücken sind es dieses Mal; 24 davon sollen über das Internet und ohne Authentifikation ausnutzbar sein. Die höchste CVSS-Einstufung beträgt hier ebenfalls zehn. 20 Schwachstellen sollen ausschließlich bei Java im Webbrowser eine Angriffsfläche bieten. Die restlichen Lücken klaffen Oracle zufolge in den Client- und Server-Versionen.

Sicherheitsforscher von Trend Micro berichten, dass eine der nun geschlossenen Lücken (CVE-2015-4902) von der Gruppe Pawn Storm ausgenutzt wurde. Über die Schwachstelle konnten sie die Click-to-Play-Einstellung von Webbrowsern umgehen. So sollen die Angreifer in der Lage gewesen sein, Schadcode ohne eine Warnung des Webbrowsers auszuführen.

In Kombination mit einer weiteren Schwachstelle in Java (CVE-2015-2590) soll Pawn Storm dieses Jahr NATO-Mitglieder und das Weiße Haus angegriffen haben. (des)