Oracle Patch Day

Oracle schließt über 100 Sicherheitslücken

Der Software-Hersteller Oracle hat in dieser Woche seine Quartals-Updates veröffentlicht. Sie beseitigen unter anderem 37 Sicherheitslücken in Java und 14 Lücken in MySQL.

Java Runtime Environment (JRE)

© Oracle

Java Runtime Environment (JRE)

Oracle stellt alle drei Monate eine umfangreiche Sammlung wichtiger Sicherheits-Updates bereit, die so genannten "Critical Patch Updates" (CPU). Sie decken meist nahezu die gesamte Produktpalette des Herstellers ab. Die zweite CPU-Kollektion dieses Jahres beseitigt insgesamt 104 Schwachstellen in Oracle-Produkten wie Database, Fusion Middleware, PeopleSoft Enterprise, Java, MySQL, VirtualBox, Linux und Solaris.

Während die meisten Hersteller, die Software für Endverbraucher anbieten, die Risikoeinstufung der gestopften Sicherheitslücken mit Begriffen wie "kritisch", "hoch", "mittel" und "gering" beschreiben, folgt Oracle dem CVSS-Standard 2.0 (Common Vulnerability Scoring System). Hieraus ergibt sich, je nach Ausnutzbarkeit und möglichen Konsequenzen, eine Bewertung zwischen 0.0 und 10.0, wobei 10.0 das höchste Risiko repräsentiert. Das bedeutet etwa, dass die betreffende Schwachstelle mit geringem Aufwand über das Netzwerk und ohne Benutzeranmeldung ausgenutzt werden kann, um beliebigen Code einzuschleusen und auszuführen.

OpenSSL-Lücke betrifft zwei Drittel aller Web-Server

Für Java hat Oracle die neuen Versionen Java 7 Update 55 und Java 8 Update 5 bereit gestellt. In Java 8 haben die Entwickler 37 Sicherheitslücken beseitigt, von den 34 auch Java 7 betreffen. Vier dieser Schwachstellen tragen den CVSS Score 10.0, weitere fünf sind mit einem Wert von 9.3 kaum weniger problematisch. Java 8 ist erst vor vier Wochen offiziell erschienen und für normale Internet-Nutzer noch nicht relevant. Sie sollten vorerst bei Java 7 bleiben, bis Web-Anwendungen erscheinen, die Java 8 erfordern.

Die in vielen Web-Projekten eingesetzte Datenbank MySQL erhält Updates, die 14 Sicherheitslücken beheben. Die schwerwiegendste Lücke trägt den CVSS Score 6.5. In Oracles Virtualisierungsprodukten, zu denen auch VirtualBox gehört, beseitigen die neuesten Patches fünf Lücken, von denen zwei VirtualBox betreffen. Letztere sind jedoch nur lokal ausnutzbar. Eine komplette Übersicht der neuesten Oracle-Updates und der betroffenen Produkte finden Sie beim Hersteller.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…