Oracle schließt über 50 Lücken in Java SE

Oracle hat zum planmäßigen Oktober-Patchday Java 7 Update 45 bereit gestellt. Die Softwareaktualisierung schließt insgesamt 51 Sicherheitslücken. Sie finden sich in Java SE 7 Update 40 und früher sowie Java SE Embedded 7 Update 40 und früher. Zahlende Java-Kunden bekommen zudem auch Patches für die Versionen Java SE 6 Update 60 und früher und Java SE 5.0 Update 51 und früher.

50 der nun behobenen Lücken lassen sich über das Java-Browser-Plug-in ausnutzen – wahrscheinlich der grund dafür, dass Apple mit dem aktuellen Java-Update für seine Nutzer das Java-Plug-in rauswirft. Zwölf Schwachstellen bezeichnet Oracle als kritisch, im zehnstufigen Common Vulnerability Scoring System (CVSS) werden sie mit 10.0 bewertet. Durch Java-Web-Start-Anwendungen könnte ein Angreifer darüber Schadcode einschleusen und ausführen.

Chester Wisnieswki, Senior Security Advisor bei Sophos, kritisiert wie auch vor ihm schon viele Experten, dass Oracle Patches für seine Produkte nur viermal im Jahr bereitstellt. “Wenn dein Ruf so schlecht ist und mehr als eine Million Nutzer deinen Fehlern ausgesetzt ist, dann musst du schneller reagieren”, schreibt Wisnieswki. “Microsoft und Adobe patchen monatlich und haben im Durchschnitt zusammen weniger als 50 Anfälligkeiten pro Quartal.” Oracle müsse sich dringend mehr anstrengen.

Oracle stellt gleichzeitig auch Updates für weitere Produkte, darunter seine Datenbank, die Fusion Middleware, Enterprise Manager und MySQL zur Verfügung. In ihnen werden weitere 76 Sicherheitslücken behoben. Details zu allen betroffenen Produkten finden sich in einem Advisory. Oracles nächster regulärer Patchday findet am 14. Januar statt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de