Oracle kommt der Forderung vieler Anwender nach: Ab dem nächsten Critical Patch Update (CPU), das am nächsten Dienstag erscheint, liefert der Hersteller bessere Informationen zu den in dem Sammel-Patch enthaltenen Updates. Im Wesentlichen gibt es drei Neuerungen: So bewertet der Hersteller zukünftig alle Schwachstellen gemäß dem Common Vulnerability Scoring System (CVSS). Dieser Standard wird auch von Anbietern wie Cisco oder IBM unterstützt und soll Anwendern dabei helfen, Schwachstellen einzuschätzen.

Zudem will Oracle ab sofort diejenigen Sicherheitslücken speziell kennzeichnen, die aus der Entfernung ausgenutzt werden können und keine Authentisierung auf dem Zielsystem verlangen. Schließlich sollen die mit einem CPU behandelten Schwachstellen in einem Executive Summary noch einmal gesondert erklärt werden. Diese Zusammenfassung könne beispielsweise dazu dienen, um dem Management oder anderen IT-fremden Personen im Unternehmen die via Patch zu beseitigenden Probleme allgemein verständlich zu erklären, heißt es dazu im Security-Blog von Oracle.

Darius Wiles, Senior Manager für Oracle Security Alerts, erklärt dazu: "Kunden verlangen, dass die Sicherheitsinformationen in einem besseren Format vorliegen. Sie wollen eine Art objektive Bewertung, die ihnen schnell die wichtigsten Dinge zeigt." Zwar hätten auch bisherige CPUs eine Einschätzung enthalten, allerdings mussten Anwender sich diese mühsam mit Hilfe von Informationen aus einer Risiko-Matrix selbst erarbeiten. (ave)