Der US-amerikanische Software-Hersteller Oracle hält seinen Patch Day nur alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Aufgrund des umfangreichen Produktportfolios sowie des relativ langen Update-Turnus fallen dabei regelmäßig mehrere hundert zu beseitigende Lücken an. Im Juli sind immerhin 508 Schwachstellen zusammengekommen – nur im April 2022 waren es noch ein paar mehr. Beim vorherigen CPU-Tag im April 2023 waren es mit 433 gestopften Lücken deutlich weniger.
Etliche der beseitigten Schwachstellen sind als kritisch einzustufen. Angaben dazu, ob Schwachstellen bereits für Angriffe ausgenutzt werden (0-Day-Lücken), macht Oracle nicht. Für die Risikobewertung nutzt Oracle den Industriestandard CVSS 3.1 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist. Auch Microsoft gibt seit einiger Zeit einen CVSS-Score für beseitigte Sicherheitslücken an.
| Produkt | neue Version | beseitigte Lücken | max. CVSS-Score |
|---|---|---|---|
| Java 8 | 8u381 | 5 | 5.9 |
| Java 11 (LTS) | 11.0.20 | 6 | 5.1 |
| Java 17 (LTS) | 17.0.8 | 7 | 5.1 |
| Java 20 | 20.0.2 | 7 | 5.1 |
| MySQL | 8.1.0 / 8.0.34 / 5.7.43 | 24 | 9.8 |
| VirtualBox | 7.0.10 / 6.1.46 | 4 | 8.1 |
Die dicksten Brocken
Die meisten Sicherheitslücken hat Oracle in seinen Produkten für Banken und Finanzdienstleister (Financial Services) geschlossen. Von den 147 Lücken sind 115 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, 18 davon erreichen den CVSS-Score 9.8. Dahinter folgt die Produktfamilie für die Telekommunikationsbranche (Communications) mit 77 gestopften Lücken. Davon sind 57 ohne Benutzeranmeldung über das Netzwerk ausnutzbar, zehn erreichen den CVSS-Score 9.8.
Fusion Middleware kommt auf 60 beseitigte Schwachstellen. Darunter sind 40 ohne Benutzeranmeldung über das Netzwerk ausnutzbare Lücken, sieben davon erreichen den CVSS-Score 9.8. Mit 24 behobenen Schwachstellen liegt der quelloffene Datenbank-Server MySQL im oberen Mittelfeld. Hier sind 11 Lücken ohne Benutzeranmeldung über das Netzwerk ausnutzbar, eine erreicht den CVSS Score 9.8. Die neuesten verfügbaren MySQL-Versionen (MySQL Community Server) sind 8.1.0 („Innovation“), 8.0.34 und 5.7.43.
Java-Updates
In Java SE (Standard Edition) hat Oracle insgesamt neun Sicherheitslücken geschlossen, von denen acht ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS-Höchstwert 5.9). Eine dieser Lücken (CVE-2023-22051) betrifft nur die GraalVM für Unternehmen. Die neueste, im März 2023 eingeführte Java-Generation 20 erhält mit Version 20.0.2 bereits ihr letztes Sicherheits-Update, das sieben Schwachstellen behebt. Sie wird schon im September durch Java 21 abgelöst, die nächste LTS-Version.
Java 17 ist wie Java 11 eine LTS-Version (Long Term Support). Beide werden acht Jahre lang mit Updates versorgt. Bei Java 17 ist Version 17.0.8 der neueste Stand, bei Java 11 ist es Version 11.0.20. In Java 17 hat Oracle sieben und in Java 11 sechs Lücken geschlossen. Ab Java 9 bringen Java-basierte Anwendungen selbst mit, was sie brauchen. Im Gegensatz zu Java 8 müssen Sie als Anwender die Java-Laufzeitumgebung (JRE) also im Regelfall nicht selbst installieren und aktualisieren.
▶Die neuesten Sicherheits-Updates
Für Anwender bleibt laut Oracle weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant und von Oracle empfohlen. Die neueste Version ist Java 8 Update 381 (8u381). Darin hat Oracle fünf Schwachstellen beseitigt. Java 8 wird für den privaten Einsatz auf vorerst unbestimmte Zeit mit kostenlos erhältlichen Sicherheits-Updates versorgt. Oracle will das Support-Ende 18 Monate im Voraus ankündigen. Unternehmen und Behörden müssen hingegen seit April 2019 für diese Updates zahlen, werden dafür jedoch bis Ende 2030 versorgt.
Als Browser-Erweiterung (JRE Plug-in) läuft Java nur noch im obsoleten Internet Explorer 11 sowie in Pale Moon (auf Firefox-Basis) und im auf altem Firefox/Gecko-Code basierenden Browser Waterfox Classic. Letzterer enthält im Gegensatz zu aktuellen Firefox-Versionen (und Waterfox ab 4.x) noch die alte NPAPI-Schnittstelle für Plug-ins – aber auch diverse seit Jahren klaffende Sicherheitslücken. Auch Pale Moon (aktuelle Version: 32.3.1 vom 18. Juli) bringt noch die alte NPAPI-Schnittstelle mit, basiert jedoch auf einem unabhängig weiterentwickelten Firefox-Fork und wird weiterhin mit Sicherheits-Updates gepflegt.
VirtualBox
Die quelloffene Virtualisierungslösung VirtualBox ist in den neuen Versionen 7.0.10 und 6.1.46 erhältlich. Darin hat Oracle vier Schwachstellen beseitigt, von denen eine (CVE-2023-22018) den CVSS-Score 8.1 erreicht. Diese und eine weitere Lücke (CVE-2023-0464) sind ohne Anmeldung über das Netzwerk ausnutzbar. Hinzu kommen wie immer einige Bug-Fixes.
Der nächste turnusmäßige Oracle CPU-Tag ist am 17. Oktober. Seit April 2022 sind diese Termine stets am dritten Dienstag im Januar, April, Juli und Oktober.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.