2286822

Oracle beseitigt über 300 Sicherheitslücken

19.07.2017 | 09:33 Uhr |

Oracle hat seine Quartals-Updates veröffentlicht. Damit beseitigt das Unternehmen 308 Sicherheitslücken in seiner Produktpalette, darunter Java, MySQL und VirtualBox.

Alle drei Monate stellt Oracle ein umfangreiches Paket mit Sicherheits-Updates bereit. Der Software-Hersteller nennt es Critical Patch Update (CPU). Beim aktuellen CPU-Tag im Juli hat Oracle 308 Schwachstellen beseitigt, die sich über nahezu das gesamte Produktportfolio verteilen. Das sind noch ein paar mehr als im April . Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.

Die meisten Schwachstellen hat Oracle in seinen Anwendungen für Hotels geschlossen. Von den insgesamt 48 Lücken sind 11 ohne Benutzeranmeldung übers Netzwerk ausnutzbar, der höchste CVSS-Score ist 9.8. Gleich dahinter folgt Fusion Middleware mit 44 gestopften Lücken, von denen 31 übers Netzwerk ausnutzbar sind und eine den höchstmöglichen CVSS-Score 10.0 aufweist.

In der Datenbank-Software MySQL haben die Oracle-Entwickler 30 Schwachstellen beseitigt. Davon sind immerhin 9 aus der Ferne und ohne Benutzeranmeldung ausnutzbar, zwei Schwachstellen mit einem CVSS-Score von 9.8 verfehlen nur knapp die höchste Risikoeinstufung. Bei den Anwendungen für den Finanzdienstleister zählt Oracle 20 beseitigte Schwachstellen. Davon sind 4 ohne Benutzeranmeldung übers Netzwerk ausnutzbar, der höchste CVSS-Score ist 8.8.

Mit der neuesten Version Java 8 Update 141 (8u141) hat Oracle 32 Java-Sicherheitslücken geschlossen. Ganze 28 dieser Schwachstellen sind ohne Benutzeranmeldung übers Netzwerk ausnutzbar, neun Lücken erreichen den CVSS-Score 9.6. Das Risiko, das von Java-Lücken ausgeht, ist heute weit geringer als noch vor wenigen Jahren, da kaum ein aktueller Browser noch Java-Applets unterstützt. Die Laufzeitumgebung JRE (Java Runtime Environment) läuft als Benutzerprozess ohne Web-Browser und kapselt die Java-Anwendungen in einer virtuellen Maschine ab.

Einen kompletten PC in einer virtuellen Maschine bildet VirtualBox ab. Mit dem Update auf VirtualBox 5.1.24 beseitigt Oracle 14 Sicherheitslücken, die allerdings nicht aus der Ferne ausnutzbar sind. Hier droht vielmehr die Gefahr, dass Code aus dem Gastsystem (der virtuellen Maschine) ausbrechen und Schaden auf dem Host anrichten kann. Den höchsten CVSS-Score von 8.8 weisen zwei der Lücken auf.

Der nächste Oracle CPU-Tag ist am 17. Oktober.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2286822