Was für Microsoft der monatliche Patch Day , ist für Oracle das quartalsweise Critical Patch Update (CPU). Beide fallen gelegentlich auf ein und denselben Tag, wie gestern. Beide Hersteller haben auch gemeinsame Probleme: Kunden, die bereit gestellte Sicherheits-Updates nicht installieren. Jedenfalls beklagt Eric Maurice im Oracle Security Blog , dass manche Kunden Patches nicht installierten, die teils schon seit Jahren bereit stünden. Und die Kunden wunderten sich dann über Angriffe, die diese Lücken auszunutzen versuchen. Beim aktuellen CPU ist Oracle gegenüber der Ankündigung aus der letzten Woche eine zu stopfende Lücke abhanden gekommen: es sind doch nur 154 Schwachstellen behoben worden. Microsoft ist ja auf dem gleichen Weg ein ganzes Security Bulletin abhanden gekommen. Die ausgesparte Lücke bei Oracle scheint zum Kernprodukt, dem Datenbank-Server zu gehören. In diesem hat Oracle 31 Schwachstellen beseitigt (angekündigt waren 32). Die meisten dieser Lücken gehören zu Funktionen, die mittels Java in der Datenbank realisiert wurden. In Java SE (Standard Edition), also das, was die meisten mit Java meinen, haben die Oracle-Entwickler 25 Lücken gestopft. Eine hat eine CVSS Base Score von 10.0, fünf liegen bei 9.3. Fast alle lassen sich ohne Benutzeranmeldung über das Netzwerk ausnutzen. Für die im März dieses Jahres in die harte Wirklichkeit entlassene Java-Generation 8 steht das Update 25 bereit (8u25), für Java 7 das Update 71. Zugleich erklärt Oracle Java 8 nunmehr zum neuen Standard-Java. Das heißt, Oracle empfiehlt allen Anwendern jetzt auf Java 8 umzusteigen. Java 7 wird unterdessen langsam (verglichen mit Java 6 jedoch recht flott) zu Grabe getragen. Noch ein reguläres Update im Januar 2015, wohl auch noch eines im April, dann wird Schluss sein mit Java 7. Weitere Updates wird es dann auch wieder nur für zahlende Kunden geben, wie schon jetzt für Java 6 und 5, die im Sicherheitsreport noch mit reichlich gestopften Lücken vertreten sind. Bis es soweit ist, sorgt Oracle aber noch ein wenig für Verwirrung. Zusätzlich zu Java 7 Update 71 bietet Oracle auch Java 7 Update 72 an und nennt es PSU (Patch Set Update). Darin stecken offenbar nicht sicherheitsrelevante Bug-Fixes für spezielle Probleme, die erst beim nächsten CPU im Januar 2015 in das reguläre Java-Update gelangen. So ein PSU soll es in Zukunft für jedes Java 7 CPU geben, also auch stets zum gleichen Termin. Im MySQL hat Oracle 24 Schwachstellen behoben, in VirtualBox eine. Eine ausführliche Aufstellung der mit dem Oktober-CPU geschlossenen Lücken finden Sie bei Oracle . Wie alle Hersteller empfiehlt auch Oracle nachdrücklich die bereit gestellten Updates auch zu installieren, um vor möglichen Angriffen geschützt zu sein.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.