Sicherheit
Oracle stopft hochkritische Java-Lücken
von
Thorsten
Eggeling - 15.01.2013
Oracle hat für Dienstag zwölf Sicherheitspakete angekündigt, mit denen das Unternehmen insgesamt 86 Fehler beseitigen will. Das neue Java 7 Update 11, mit dem eine gravierende Java-Lücke geschlossen wird, ist ebenfalls verfügbar.
Am heutigen Dienstag, dem 15.01.2013 veröffentlicht Oracle mehrere Sicherheitsupdates, mit denen das Unternehmen insgesamt 86 Sicherheitslücken beseitigt.
Allen voran schließt das Unternehmen eine erst am 10. Januar entdeckte Java-Schwachstelle, die Kriminelle bereits aktiv für das Verteilen von Schadcode missbrauchen. Zudem befindet sich der Angriffscode im Exploit-Kit "Blackhole", das auch nicht professionelle Hacker nutzen konnten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb eine Warnmeldung herausgegeben und den Benutzern empfohlen das Java-Plugin im Browser bis zu einem Sicherheitsupdate zu deaktivieren. Mozilla und Apple haben ebenfalls reagiert und geben in Ihren Browsern eine Warnmeldung aus, wenn das Java-Plugin verwendet wird.
Mit Java 7 Update 11 will Oracle diese und noch eine weiter Sicherheitslücke beseitigt haben. Darüber hinaus hat Oracle den Standard-Sicherheitslevel im Umgang mit Java-Web-Applets von "Mittel" auf "Hoch" gesetzt. Nutzer erhalten von nun an Warnmeldungen, wenn ein unsigniertes Applet ausgeführt werden soll. Das dürfte die Sicherheit erhöhen, da bösartige Java-Programm wohl nur selten digital signiert sind.
Einige Experten sehen das Update jedoch kritisch. Adam Gowdiak beispielsweise, der schon viele Java-Sicherheitslücken entdeckt hat, meint, dass Oracle Sicherheitslücken nicht schnell genug und vor allem nicht gründlich beseitigt. Das zuletzt entdeckte Problem sei nur eine Variante bereits seit längerem bekannter Sicherheitslücken.
Neben denen in Java, beseitigt Oracle auch Sicherheitslücken in vielen anderen Produkten, etwa in der Datenbank MySQL. Hier schließt das Unternehmen zwei Lücken mit dem hohen CVSS-Wert von 9 (Common Vulnerability Scoring). Ein entfernter Angreifer kann darüber Schadcode einschleusen und ausführen. Weitere gravierende Sicherheitsprobleme gibt es im Modul "Spatial" des Datenbankservers Oracle 10/11. Eine bereits seit längerem bekannte Sicherheitslücke im TNS-Listener soll erst in der nächsten Version 12 geschlossen werden.
Das Update auf Java 7 Update 11 können Sie hier herunterladen.
