Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen regelmäßig mehrere hundert zu beseitigende Lücken an. Beim letzten CPU-Tag des Jahres sind es 419, von denen 58 durch externe Sicherheitsforscher gemeldet wurden. Die 419 gestopften Lücken sind die höchste Anzahl seit Juli 2020 (443) und die zweithöchste überhaupt. Etliche der gestopften Lücken sind als kritisch eingestuft. Für die Risikoeinstufung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an. Die dicksten Brocken Die meisten Sicherheitslücken hat Oracle im quelloffenen Datenbank-Server MySQL geschlossen. Von den 66 Schwachstellen sind zehn ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zwei davon erreichen den CVSS Score 9.8. Die neuesten MySQL-Versionen (MySQL Community Server) sind 8.0.27 und 5.7.3. Für den Versionszweig 5.6.x gibt es seit Jahresanfang keine Updates mehr. Dahinter folgt der Bereich Software für Finanzdienstleister mit 44 beseitigten Schwachstellen. Immerhin 26 dieser Lücken sind aus der Ferne ausnutzbar, fünf davon erreichen den CVSS-Score 9.8. Eine weitere Lücke kommt sogar auf 9.9, ist jedoch nicht ohne Benutzeranmeldung ausnutzbar. In Fusion Middleware hat Oracle 38 Lücken gestopft, von denen 30 ohne Anmeldung übers Netzwerk ausgenutzt werden könnten. Drei dieser Schwachstellen erreichen den CVSS-Score 9.8. ▶Die neuesten Sicherheits-Updates Java In Java SE (Standard Edition) hat Oracle insgesamt 15 Sicherheitslücken geschlossen. Mehrere davon betreffen auch Java 7, für das es schon seit 2015 nur noch kostenpflichtige Updates gibt. Ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind 13 Lücken (CVSS-Höchstwert 8.6). Die neueste, gerade erst im September 2021 eingeführte Java-Generation 17 erhält mit Version 17.0.1 bereits ihr erstes Sicherheits-Update, das acht Lücken stopft. Java 17 ist wie Java 11 eine LTS-Version (Long Term Support). Beide werden acht Jahre lang mit Updates versorgt. Bei Java 11 ist Version 11.0.13 der neueste Stand, der zehn Lücken schließt. Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt. Die neueste Version ist Java 8 Update 311 (8u311), in der Oracle 13 Lücken geschlossen hat. Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im Internet Explorer 11 sowie im auf Firefox basierenden Browser Waterfox Classic, der im Gegensatz zu aktuellen Firefox-Versionen noch die alte NPAPI-Schnittstelle für Plug-ins mitbringt. VirtualBox Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.1.28 erhältlich. Darin hat Oracle fünf Schwachstellen beseitigt, von denen eine den CVSS-Score 7.8 erreicht. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Für VirtualBox 6.0.x sowie 5.2.x gibt es bereits seit Juli 2020 keine Updates mehr, die letzten Versionen sind 6.0.24 und 5.2.44. Der nächste turnusmäßige Oracle CPU-Tag ist am 18. Januar 2022.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.