Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Im Oktober sind immerhin 370 Schwachstellen zusammengekommen. Beim vorherigen CPU-Tag im Juli waren es mit 349 gestopften Lücken etwas weniger. Insgesamt hat Oracle damit in diesem Jahr 1736 Sicherheitslücken geschlossen. Das sind über 250 Lücken mehr als im Vorjahr und ein neuer Höchstwert.
Etliche der beseitigten Schwachstellen sind als kritisch einzustufen. Angaben dazu, ob Schwachstellen bereits für Angriffe ausgenutzt werden (0-Day-Lücken), macht Oracle nicht. Für die Risikobewertung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an.
| Produkt | neue Version | beseitigte Lücken | CVSS-Score |
|---|---|---|---|
| Java 8 | 8u351 | 4 | 5.3 |
| Java 11 (LTS) | 11.0.17 | 5 | 5.3 |
| Java 17 (LTS) | 17.0.5 | 6 | 5.3 |
| Java 19 | 19.0.1 | 6 | 5.3 |
| MySQL | 8.0.31 | 37 | 9.8 |
| VirtualBox | 7.0.0. / 6.1.40 | 10 | 9.8 |
Die dicksten Brocken
Die meisten Sicherheitslücken hat Oracle in seinen Produkten für die Telekommunikationsbranche (Communications) geschlossen. Von den 74 Lücken sind 64 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, 16 davon erreichen den CVSS-Score 9.8. Dahinter folgt Fusion Middleware mit 56 gestopften Lücken. Darunter sind 43 ohne Benutzeranmeldung über das Netzwerk ausnutzbare Schwachstellen, neun davon erreichen den CVSS-Score 9.8. Mit 37 behobenen Schwachstellen liegt auch der quelloffene Datenbank-Server MySQL wieder in der Spitzengruppe. Hier sind 11 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, eine erreicht den CVSS Score 9.8. Die neuesten verfügbaren MySQL-Versionen (MySQL Community Server) sind 8.0.31 und 5.7.39.
Java-Updates
In Java SE (Standard Edition) hat Oracle insgesamt neun Sicherheitslücken geschlossen, die alle ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS-Höchstwert 9.1). Die drei gefährlichsten dieser Lücken betreffen nur die GraalVM für Unternehmen. Die neueste, gerade im September 2022 eingeführte Java-Generation 19 erhält mit Version 19.0.1 bereits ihr erstes Sicherheits-Update. Sie wird schon im März 2023 durch Java 20 abgelöst. Java 17 ist hingegen wie Java 11 eine LTS-Version (Long Term Support). Beide werden acht Jahre lang mit Updates versorgt. Bei Java 17 ist Version 17.0.5 der neueste Stand, bei Java 11 ist es Version 11.0.17. In Java 19 und 17 hat Oracle sechs Lücken geschlossen, in Java 11 sind es fünf. Ab Java 9 bringen Java-basierte Anwendungen selbst mit, was sie brauchen. Im Gegensatz zu Java 8 müssen Sie als Anwender die Java-Laufzeitumgebung (JRE) also nicht selbst installieren und aktualisieren.
▶Die neuesten Sicherheits-Updates
Für Anwender bleibt weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant und von Oracle empfohlen. Die neueste Version ist Java 8 Update 351 (8u351). Darin hat Oracle vier Schwachstellen beseitigt. Java 8 wird für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Unternehmen und Behörden müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt.
Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im obsoleten Internet Explorer 11 sowie im auf Firefox/Gecko basierenden Browser Waterfox Classic. Letzterer enthält im Gegensatz zu aktuellen Firefox-Versionen (und Waterfox ab 4.x) noch die alte NPAPI-Schnittstelle für Plug-ins – aber auch diverse seit Jahren klaffende Sicherheitslücken.
VirtualBox
Die quelloffene Virtualisierungslösung VirtualBox ist in den neuen Versionen 7.0.0 und 6.1.40 erhältlich. Darin hat Oracle zehn Schwachstellen beseitigt, von denen eine den CVSS-Score 8.8 erreicht. Drei Lücken sind ohne Anmeldung über das Netzwerk ausnutzbar, sofern die virtuelle Maschine (VM) über VRDP (VirtualBox Remote Desktop Protocol) erreichbar ist. Hinzu kommen wie immer zahlreiche Bug-Fixes.
Der nächste turnusmäßige Oracle CPU-Tag ist am 17. Januar 2023. Seit April 2022 sind diese Termine stets am dritten Dienstag im Januar, April, Juli und Oktober.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.