Der amerikanische Software-Hersteller Oracle hält seinen Patch Day alle drei Monate ab. Oracle spricht dabei von „Critical Patch Updates“ (CPU). Waren es im Juli noch 319 geschlossene Sicherheitslücken, beseitigt Oracle beim vierten und letzten CPU-Tag des Jahres genau 100 Schwachstellen weniger: 219. Etliche der gestopften Lücken sind als kritisch eingestuft. Für diese Einstufung nutzt Oracle CVSS 3.0 (Common Vulnerability Scoring Standard), dessen höchster Wert 10.0 ist.
Die meisten Lücken hat Oracle in Fusion Middleware geschlossen. Es erhält Updates gegen 37 Sicherheitslücken, von denen 31 ohne Anmeldung per HTTP übers Netzwerk ausnutzbar sind. Zwei der Schwachstellen erreichen den CVSS-Score 9.8. Dann folgt bereits der bekannte quelloffene Datenbank-Server MySQL mit 34 gestopften Lücken. Darunter sind neun Schwachstellen, die ohne Benutzeranmeldung über das Netzwerk ausnutzbar sind. Eine Schwachstelle setzt den höchsten CVSS-Score mit 9.8.
In Java SE (Standard Edition) hat Oracle insgesamt 20 Lücken gestopft, die alle ohne Benutzeranmeldung übers Netzwerk ausnutzbar sind (CVSS 6.8). Auf die einzelnen Java-Versionszweige entfallen jeweils 18 Lücken, jedoch nicht immer dieselben 18 von 20. Die neueste, im September eingeführte Java-Generation 13 erhält mit Java 13.0.1 ihr erstes Sicherheits-Update. Java 13 wird bereits im März 2020 durch Java 14 abgelöst. Im Gegensatz dazu wird Java 11 acht Jahre lang mit Updates versorgt. Java 11 ist eine so genannte LTS-Version (Long Term Support). MediathekView setzt in seiner neuesten Version 13.5.0 bereits Java 11 voraus und bringt es auch mit.
Ansonsten bleibt für Anwender weiterhin vorwiegend Java 8 (JRE – Java Runtime Environment) relevant, das für den privaten Einsatz noch bis mindestens Ende 2020 mit kostenlos erhältlichen Sicherheits-Updates versorgt wird. Kommerzielle Verwender müssen hingegen seit April 2019 für diese Updates zahlen. Die neueste Version ist Java 8 Update 231 (8u231). Als Browser-Erweiterung läuft Java nur noch im Internet Explorer.
Die quelloffene Virtualisierungslösung VirtualBox ist in der neuen Version 6.0.14 verfügbar. Darin hat Oracle 12 Lücken gestopft, von denen eine den CVSS-Score 8.8 erreicht. Die eine oder andere Schwachstelle könnte geeignet sein, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Der ältere Versionszweig 5.2.x erhält ein Update auf Version 5.2.34, das die gleichen Schwachstellen behebt.
Der nächste turnusmäßige Oracle CPU-Tag ist am 14. Januar 2020.
Quelle: Oracle beseitigt mehr als 200 Schwachstellen - PC-WELT