Oracle Critical Patch für 2013 schließt Sicherheitslücken in MySQL und VirtualBox, Java-Flicken schon da

Ein Kommentar Autor: Jürgen (jdo)

Oracle LogoAm morgigen 15. Januar 2013 ist bei Oracle Patch-Day – oder wie sie es nennen Oracle Critical Patch. Es handelt sich dabei um eine Update-Sammlung für eine ganze Reihe an Software-Produkten. Für mich sind dabei 3 Dinge interessant: Updates für VirtualBox, MySQL und keines für Java (in der Ankündigung).

In Sachen VirtualBox stopft man eine Sicherheitslücke, die sich von außen oder via Netzwerk nicht ausnutzen lässt. Bezüglich MySQL hat man 18 Flicken angekündigt. Zwei davon könnten sich über das Netzwerk ohne Benutzername und Passwort ausnutzen lassen.

Am Interessantesten finde ich jedoch, dass man Java noch nicht geflickt hat. Selbst das BSI hat vor der schweren Sicherheitslücke in Java 7 Update 10 gewarnt. Die Sicherheitslücke wird bereits aktiv ausgenutzt und findet sich in diversen Exploit-Kits wieder. Es reicht, wenn ein Anwender eine schädliche Webseite besucht. Cyberkriminelle könnten dann beliebigen Code auf dem System ausführen. Also das Ding ist echt fies und Apple hat empfohlen, Java unter Mac OS X (Safari) zu deaktivieren.

Mozilla geht einen etwas anderen Weg und hat für die Versionen Java 7u9, 7u10, 6u37, 6u38 zum Schutze des Anwenders ein Click To Play vorgeschalten. Somit wird der Inhalt nur ausgeführt, wenn der Anwender explizit darauf klickt. Das mag zwar für Oracles Java stimmen, trifft aber anscheinend nicht auf IcedTea zu. Inspektor Mozilla scheint das Plugin nicht einmal zu kennen.

IcedTea? Kenn ich nicht ...

IcedTea? Kenn ich nicht …

Prüfe ich meine Plugin-Version über www.javatester.org, meldet das System 1.7.0_09 from Oracle Corporation – sollte also anfällig sein! Chrome meckert zumindest, dass das Plugin veraltet ist und ich muss bestätigen, wenn Java ausgeführt werden soll. Bei Firefox muss ich in den Plugins IcedTea manuell deaktivieren, weil das Click To Play hier nicht funktioniert – dumm. Es wäre natürlich in diesem Fall schön, wenn Mozilla künftig auch IcedTea-Anwender mit in den Fokus nehmen könnte.

Java 1.7.0_09 von Oracle

Java 1.7.0_09 von Oracle

Prüfe ruhig mal Deine Browser auf die Java-Version (falls vorhanden). Ich würde Java am liebsten aus meinem Browser verbannen, wäre da nicht eine einzige Applikation, die ich immer wieder brauche und Java verlangt. Ich vergesse nur immer das Plugin wieder zu deaktivieren – vielleicht sollte ich den Besuch dieser Webseite künftig über eine virtuelle Maschine durchführen … dann wäre Ruhe.

Oracle hat mittlerweile einen Patch ausgegeben – Java 7 Update 11 . Der Flicken ist zwar nicht im Oracle Critical Patch, man hätte ihn aber trotzdem dort erwähnen können – ist schließlich keine kleine Sache.

Auch Interessant?

  1. Pwn2Own 2016 – Mozilla Firefox nicht berücksichtig
  2. Mozilla Firefox 4 Beta 2 mit App Tabs ist testbereit
  3. Chrome- und Firefox-Updates merzen Googles Zertifikats-Problem aus
  4. Die neue Cookie-Policy von Firefox als atomaren Erstschlag zu bezeichnen, ist dann doch übertrieben
  5. VirusTotal-Plugin für Firefox und Chrome: VTzilla

 Alle Kommentare als Feed abonnieren

Ein Kommentar zu “Oracle Critical Patch für 2013 schließt Sicherheitslücken in MySQL und VirtualBox, Java-Flicken schon da”

  1. axt says:
    14. January 2013 at 16:14

    Es ist deswegen kein Java-Update aufgeführt, weil es "schon" seit gestern bereit steht:

    http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html