Oracle Critical Patch für 2013 schließt Sicherheitslücken in MySQL und VirtualBox, Java-Flicken schon da

14 Januar 2013 Ein Kommentar Autor: Jürgen (jdo)

Oracle LogoAm morgigen 15. Januar 2013 ist bei Oracle Patch-Day – oder wie sie es nennen Oracle Critical Patch. Es handelt sich dabei um eine Update-Sammlung für eine ganze Reihe an Software-Produkten. Für mich sind dabei 3 Dinge interessant: Updates für VirtualBox, MySQL und keines für Java (in der Ankündigung).

In Sachen VirtualBox stopft man eine Sicherheitslücke, die sich von außen oder via Netzwerk nicht ausnutzen lässt. Bezüglich MySQL hat man 18 Flicken angekündigt. Zwei davon könnten sich über das Netzwerk ohne Benutzername und Passwort ausnutzen lassen.

Am Interessantesten finde ich jedoch, dass man Java noch nicht geflickt hat. Selbst das BSI hat vor der schweren Sicherheitslücke in Java 7 Update 10 gewarnt. Die Sicherheitslücke wird bereits aktiv ausgenutzt und findet sich in diversen Exploit-Kits wieder. Es reicht, wenn ein Anwender eine schädliche Webseite besucht. Cyberkriminelle könnten dann beliebigen Code auf dem System ausführen. Also das Ding ist echt fies und Apple hat empfohlen, Java unter Mac OS X (Safari) zu deaktivieren.

Mozilla geht einen etwas anderen Weg und hat für die Versionen Java 7u9, 7u10, 6u37, 6u38 zum Schutze des Anwenders ein Click To Play vorgeschalten. Somit wird der Inhalt nur ausgeführt, wenn der Anwender explizit darauf klickt. Das mag zwar für Oracles Java stimmen, trifft aber anscheinend nicht auf IcedTea zu. Inspektor Mozilla scheint das Plugin nicht einmal zu kennen.

IcedTea? Kenn ich nicht ...

IcedTea? Kenn ich nicht …

Prüfe ich meine Plugin-Version über www.javatester.org, meldet das System 1.7.0_09 from Oracle Corporation – sollte also anfällig sein! Chrome meckert zumindest, dass das Plugin veraltet ist und ich muss bestätigen, wenn Java ausgeführt werden soll. Bei Firefox muss ich in den Plugins IcedTea manuell deaktivieren, weil das Click To Play hier nicht funktioniert – dumm. Es wäre natürlich in diesem Fall schön, wenn Mozilla künftig auch IcedTea-Anwender mit in den Fokus nehmen könnte.

Java 1.7.0_09 von Oracle

Java 1.7.0_09 von Oracle

Prüfe ruhig mal Deine Browser auf die Java-Version (falls vorhanden). Ich würde Java am liebsten aus meinem Browser verbannen, wäre da nicht eine einzige Applikation, die ich immer wieder brauche und Java verlangt. Ich vergesse nur immer das Plugin wieder zu deaktivieren – vielleicht sollte ich den Besuch dieser Webseite künftig über eine virtuelle Maschine durchführen … dann wäre Ruhe.

Oracle hat mittlerweile einen Patch ausgegeben – Java 7 Update 11 . Der Flicken ist zwar nicht im Oracle Critical Patch, man hätte ihn aber trotzdem dort erwähnen können – ist schließlich keine kleine Sache.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Ein Kommentar zu “Oracle Critical Patch für 2013 schließt Sicherheitslücken in MySQL und VirtualBox, Java-Flicken schon da”

  1. axt sagt:

    Es ist deswegen kein Java-Update aufgeführt, weil es "schon" seit gestern bereit steht:

    http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html

Antworten