Oracle schließt zahlreiche Software-Lücken, auch in Java
Mit seinem heute veröffentlichten Critical Patch Update schließt Oracle zahlreiche Lücken in seinen Software-Produkten. Die meisten davon steckten in Java SE und ließen sich übers Netz ohne Anmeldung ausnutzen.
- Christian Kirsch
Oracle liefert mit dem jetzt veröffentlichten Critical Patch Update, dem letzten für 2013, erstmals Korrekturen für alle seine Software-Produkte auf einen Rutsch aus. Insgesamt werden damit 126 Lücken geschlossen, davon macht Java SE mit 51 den Löwenanteil aus. Auf dem zweiten Platz folgt die Middleware Fusion mit 17 Fehlern. In MySQL behebt Oracle acht, im Datenbankserver vier Bugs.
50 der Java-Fehler ließen sich über das Netz ohne Authentifizierung ausnutzen, 21 sind mit 9 und höher auf der 10-stufigen Risikoskala bewertet. Einige der Lücken betreffen nur Installationen von Java auf Clients, also im Browser laufende Applets oder per Webstart ausgeführte Programme. Andere ermöglichen auch Angriffe auf Server-Installationen. Über die betroffenen Komponenten hinausgehende Informationen gibt es bis auf die CVE-Kennungen nicht, Oracle empfiehlt jedoch ein möglichst schnelles Aktualisieren der Java-Umgebung.
Dazu steht Java 7u45 für Windows, Mac OS X, Linux und Solaris allgemein zum Download zur Verfügung. Für die älteren Versionen 5 und 6 stellt Oracle zwar ebenfalls Patches bereit, jedoch nur für Kunden mit einem Wartungsvertrag. Mac-Nutzer bekommen jedoch ein korrigiertes Java 6 für OS X 10.6 sowie 10.7 und später von Apple direkt. Dieses Update deinstalliert das Browser-Plug-in, das man bei Bedarf wiederum direkt bei Oracle herunterladen kann. (ck)