Alle drei Monate stellt Oracle ein großes Paket mit Sicherheits-Updates bereit. Der Software-Hersteller nennt es Critical Patch Update (CPU). Beim CPU-Tag im April hat 299 Schwachstellen beseitigt, die sich über nahezu das gesamte Produktportfolio verteilen. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Die meisten Schwachstellen hat Oracle in seinen Anwendungen für Finanzdienstleister geschlossen. Von den insgesamt 47 Lücken sind 25 ohne Benutzeranmeldung übers Netzwerk ausnutzbar, der höchste CVSS-Score ist 10.0. Gleich dahinter folgen die Anwendungen für den Handel (Retail Applications) mit 39 gestopften Lücken. Davon sind 25 ohne Benutzeranmeldung übers Netzwerk ausnutzbar, der höchste CVSS-Score ist wiederum 10.0. Auch in der Datenbank-Software MySQL haben die Oracle-Entwickler 39 Schwachstellen beseitigt. Davon sind 11 aus der Ferne und ohne Benutzeranmeldung ausnutzbar, der maximale CVSS-Score von 10.0 wird auch hier bei einer Lücke erreicht. In Fusion Middleware sind 31 Lücken gestopft, von denen 20 übers Netzwerk ausnutzbar sind und eine den höchstmöglichen CVSS-Score 10.0 aufweist. Mit der neuesten Version Java 8 Update 131 (8u131) hat Oracle acht Java-Sicherheitslücken geschlossen. Sieben dieser Schwachstellen sind ohne Benutzeranmeldung übers Netzwerk ausnutzbar, zwei Lücken erreichen den CVSS-Score 8.3. Das Risiko, das von Java-Lücken ausgeht, ist heute weit geringer als noch vor wenigen Jahren, da praktisch kein aktueller Browser mehr Java-Applets unterstützt. Die Laufzeitumgebung JRE (Java Runtime Environment) läuft als Benutzerprozess ohne Web-Browser und kapselt die Java-Anwendungen in einer virtuellen Maschine ab. Einen kompletten PC in einer virtuellen Maschine bildet VirtualBox ab. Mit dem Update auf VirtualBox 5.1.20 beseitigt Oracle neun Sicherheitslücken, die allerdings nicht aus der Ferne ausnutzbar sind. Hier droht vielmehr die Gefahr, dass Code aus dem Gastsystem (der virtuellen Maschine) ausbrechen und Schaden auf dem Host anrichten kann. Den höchsten CVSS-Score von 8.8 weisen drei der Lücken auf. Der nächste Oracle CPU-Tag ist am 18. Juli.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.