2026-0203: Oracle Java SE, OpenJDK: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der betroffenen Software

Historie:

Version 1 (2026-01-21 11:46): Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um die Software vollständig zu kompromittieren, Dateien zu manipulieren und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Oracle stellt im Rahmen des Patchtags im Januar 2026 die Sicherheitsupdates Java SE Development Kit 8u481, 8u481-PERF, 11.0.30, 17.0.18, 21.0.10 und 25.0.2 zur Verfügung.

Mit der Behebung einiger der Schwachstellen werden jeweils weitere Schwachstellen adressiert (siehe 'Notes').

Schwachstellen:

CVE-2025-12183

Schwachstelle in Oracle JDK Mission Control ermöglicht u. a. Denial-of-Service-Angriff

CVE-2025-43368

Schwachstelle in WebKit Process Model ermöglicht Denial-of-Service-Angriff

CVE-2025-47219

Schwachstelle in GStreamer ermöglicht Ausspähen von Informationen

CVE-2025-6021

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2025-6052

Schwachstelle in GNOME GLib ermöglicht Denial-of-Service-Angriff

CVE-2025-7425

Schwachstelle in libxslt ermöglicht Ausführen beliebigen Programmcodes

CVE-2026-21925

Schwachstelle in GraalVM, GraalVM for JDK und Oracle Java SE ermöglicht u. a. Manipulation von Daten

CVE-2026-21932

Schwachstelle in GraalVM, GraalVM for JDK und Oracle Java SE ermöglicht Manipulation von Daten

CVE-2026-21933