Der US-amerikanische Software-Hersteller Oracle stellt in einem dreimonatlichen Turnus gebündelte Sicherheits-Updates für sein umfangreiches Produktportfolio bereit. Oracle nennt das Critical Patch Update (CPU). Beim aktuellen CPU-Tag im Januar hat Oracle 237 Schwachstellen beseitigt, das sind etwas weniger als im Oktober . Darunter sind auch die Spectre-/Meltdown-Lücken . Neben seiner Unternehmens-Software-Palette sind auch Produkte betroffen, die für private Anwender ebenfalls interessant sind – etwa Java, VirtualBox und MySQL. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Die meisten Lücken hat Oracle in seinen Produkten für Banken und Finanzdienstleister geschlossen. Von den 34 Schwachstellen sind 13 ohne Benutzeranmeldung über das Netzwerk ausnutzbar. Der höchste CVSS-Score ist 8.8. Dahinter folgt Fusion Middleware mit 27 gestopften Lücken. Hier sind 21 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, eine der Schwachstellen erreicht den CVSS-Score 9.9, drei Lücken den Wert 9.8. Dann folgt mit MySQL bereits die im Web wohl am weitesten verbreitete Datenbank-Software. Von den 25 gestopften Lücken sind sechs ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 8.1. Mit 21 beseitigten Sicherheitslücken liegt Java knapp dahinter. Hiervon sind 18 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, der höchste CVSS-Score ist 8.3. Oracle hat im September das vor allem auf Modularität und Open Source ausgerichtete Java 9 ins richtige Leben entlassen und nun mit Java SE 9.0.4 bereits das zweite Sicherheits-Update bereit gestellt. Immerhin 19 der vorgenannten 21 Lücken betreffen Java 9. Endanwender sollten im Zweifelsfall noch einige Zeit bei Java 8 bleiben. In der neuen Version Java 8 Update 161 (8u161), haben die Entwickler ebenfalls 19 Lücken gestopft. Oracle empfiehlt diese Version, die ebenfalls erhältliche Version 8u162 ist für Software-Entwickler gedacht. Der Wechsel zu Java 9 als empfohlene Java-Generation könnte bereits im April 2018 erfolgen. Zumindest bis Sommer 2018 soll es noch frei verfügbare Sicherheits-Updates für Java 8 geben. In der neuen VirtualBox-Version 5.2.6 hat der Hersteller 12 Sicherheitslücken beseitigt. Der höchste CVSS-Score ist 8.8, keine der Lücken ist aus der Ferne ausnutzbar. Allerdings könnte Schadcode aus einer virtuellen Maschine (Gastsystem) ausbrechen und auf Ressourcen des Host-Systems zugreifen. Hinzu kommen einige Bug-Fixes. Der nächste turnusmäßige Oracle CPU-Tag ist am 17. April.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.