Oracle Patch Day

Sicherheits-Updates für Java und VirtualBox

Zum dritten Mal in diesem Jahr stellt Oracle seine Quartals-Updates bereit. Sie schließen insgesamt 113 Sicherheitslücken in diversen Oracle-Produkten, darunter auch Java, VirtualBox und MySQL.

Alle drei Monate veröffentlicht Oracle ein so genanntes "Critical Patch Update" (CPU). Mit anderen Worten: einmal im Quartal ist Patch Day bei Oracle. Am 15. Juli hat Oracle Sicherheits-Updates für nahezu seine gesamte Produktpalette heraus gebracht, die von Oracle Database und MySQL über Fusion Middleware und PeopleSoft Enterprise bis zu Java und VirtualBox reicht. Sie beseitigen insgesamt 113 zum Teil als kritisch eingestufte Schwachstellen.

Für Java stellt stellt Oracle die neuen Versionen Java 7 Update 65 (7u65) und Java 8 Update 11 (8u11) bereit. Darin hat Oracle 20 Sicherheitslücken geschlossen. Alle Schwachstellen sind ohne Authentifizierung über das Netzwerk ausnutzbar. Eine der Lücken erreicht den maximalen CVSS-Score 10.0, für sieben weitere gibt Oracle den CVSS-Score mit 9.3 an (CVSS: Common Vulnerability Scoring System).

Java 8 ist seit März 2014 erhältlich, soll Java 7 jedoch frühestens ab April 2015 ablösen. Bis dahin können und sollten Anwender Java 7 nutzen und regelmäßig aktualisieren. Java 7 wird auch weiterhin für Windows XP unterstützt, während Java 8 nicht unter XP läuft. Welche Java-Version Sie installiert haben, können Sie in der Windows-Systemsteuerung feststellen, wo es ein Applet für die Java-Konfiguration gibt, sofern Java installiert ist.

In VirtualBox hat Oracle sieben Lücken gestopft, die jedoch nur lokal ausnutzbar sind. Der höchste CVSS-Score ist 6.9. Die neueste VirtualBox-Version vom 15. Juli trägt die Nummer 4.3.14. Dazu passend gibt es auch ein neues Extension Pack. In MySQL sind zehn Schwachstellen beseitigt, die nicht ohne Authentifizierung über das Netzwerk ausnutzbar sind. Die schwerwiegendsten Lücken erreichen einen CVSS-Score von 6.5. (PC Welt/mje)