Patchen: Kritische Lücken in Oracle Database und Zero-Day-Exploits bei Microsoft

Oracle äussert den starken Wunsch, man möge umgehend patchen. Es geht um die Oracle Database Server, Versionen 11.2.0.4, 12.1.0.2, 12.2.0.1, 18. Und es müsste rasch gehen. Die Lücke (CVE-2018-3110), erhielt einen CVSS-Basis-Score von 9,9 (von 10). Oracle warnt eindringlich , dass ein erfolgreiches Ausnutzen des Fehlers "zu einer vollständigen Kompromittierung der Oracle-Datenbank und zum Shell-Zugriff auf den zugrunde liegenden Server führen kann".Für die verwundbaren Database-Versionen 11.2.0.4 und 12.2.0.1 unter Windows stehen Patches bereit. Registrierte Nutzer können sie im Kundenbereich der Oracle-Website beziehen.Wer die Version 12.1.0.2 unter Windows oder irgendeine Linux-/Unix-Version von Database hat, der ist auch betroffen. Oracle hat den Patch für diese Versionen mit dem regulären Critical Patch Update im Juli geliefert. Wer diesen eingespielt hat, kann anderes erledigen. Aberwer in den Ferien war oder das Patchen damals unterliess, der hat Arbeit vor sich.Die Lücke befinde sich in der Java VM-Komponente der Oracle Database Server. Doch Attacken können weitere Produkte einschliessen, meldet die National Vulnerability Database , welche als Status für CVE-2018-3110 "Awaiting Analysis" notiert.Keine Ruhepause vom Patchen gibt es für alle diejenigen, die Internet Explorer einsetzen. CVE-2018-8373 zeigt warum, es ist ein Zero-Day-Bug, der auch ausgenutzt werde. -- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8414--Dasselbe gilt für CVE-2018-8414 und Windows Shell.--Dutzende weiterer Bugs wurden von den Redmondern zum "Patch Tuesday" adressiert.Nicht zu vergessen: Adobe hat zudem Patches gegen Lücken im Flash Player, in Adobe/Reader und in Creative Cloud sowie im Experience Manager auf Lager. (mag)