Oracle hat seine ersten Quartals-Updates dieses Jahres veröffentlicht. Sie schließen 237 Sicherheitslücken in der Oracle-Produktpalette, etwa in Java, MySQL und VirtualBox.
Der US-amerikanische Software-Hersteller Oracle stellt in einem dreimonatlichen Turnus gebündelte Sicherheits-Updates für sein umfangreiches Produktportfolio bereit. Oracle nennt das Critical Patch Update (CPU). Beim aktuellen CPU-Tag im Januar hat Oracle
237 Schwachstellen
beseitigt, das sind etwas weniger als
im Oktober
. Darunter sind auch die
Spectre-/Meltdown-Lücken
. Neben seiner Unternehmens-Software-Palette sind auch Produkte betroffen, die für private Anwender ebenfalls interessant sind – etwa Java, VirtualBox und MySQL. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.
Die meisten Lücken hat Oracle in seinen Produkten für Banken und Finanzdienstleister geschlossen. Von den 34 Schwachstellen sind 13 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der höchste CVSS-Score ist 8.8. Dahinter folgt Fusion Middleware mit 27 gestopften Lücken. Hier sind 21 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, eine der Schwachstellen erreicht den CVSS-Score 9.9, drei Lücken den Wert 9.8.
Dann folgt mit MySQL bereits die im Web wohl am weitesten verbreitete Datenbank-Software. Von den 25 gestopften Lücken sind sechs ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 8.1. Mit 21 beseitigten Sicherheitslücken liegt Java knapp dahinter. Hiervon sind 18 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 8.3.
Oracle hat im September das vor allem auf Modularität und Open Source ausgerichtete Java 9 ins richtige Leben entlassen und nun mit Java SE 9.0.4 bereits das zweite Sicherheits-Update bereit gestellt. Immerhin 19 der vorgenannten 21 Lücken betreffen Java 9. Endanwender sollten im Zweifelsfall noch einige Zeit bei Java 8 bleiben. In der neuen Version
Java 8 Update 161
(8u161), haben die Entwickler ebenfalls 19 Lücken gestopft. Oracle empfiehlt diese Version, die ebenfalls erhältliche Version 8u162 ist für Software-Entwickler gedacht. Der Wechsel zu Java 9 als empfohlene Java-Generation könnte bereits im April 2018 erfolgen. Zumindest bis Sommer 2018 soll es noch frei verfügbare Sicherheits-Updates für Java 8 geben.
In der neuen
VirtualBox-Version 5.2.6
hat der Hersteller 12 Sicherheitslücken beseitigt. Der höchste CVSS-Score ist 8.8, keine der Lücken ist aus der Ferne ausnutzbar. Allerdings könnte Schadcode aus einer virtuellen Maschine (Gastsystem) ausbrechen und auf Ressourcen des Host-Systems zugreifen. Hinzu kommen einige Bug-Fixes.
Der nächste turnusmäßige Oracle CPU-Tag ist am 17. April.