MÜNCHEN (COMPUTERWOCHE) - Zum ersten Mal hat Oracle Anwendern sein "Critical Patch Update" zur Verfügung gestellt. Nach dem Vorbild von Microsoft will der Datenbankspezialist künftig einmal pro Quartal eine Sammlung wichtiger Patches herausbringen und nur noch in ganz besonderen Fällen einzeln auf neu entdeckte Schwachstellen in seinen Produkten reagieren.

Die jetzt vorliegende Sammlung stopft Sicherheitslücken in einer ganzen Reihe von Oracle-Produkten: Neben der Datenbank sind der Application-Server, die Collaboration- sowie die E-Business-Suite davon betroffen. Mit enthalten in dem Paket ist ein Fix für einen Fehler, der es einem Angreifer erlaubt, einen Pufferüberlauf in der Datenbank zu überzeugen und so die Kontrolle über das System zu übernehmen.

Mit dem Critical Update führt Orcale ein System ein, das der Hersteller als "Risk Matrix" bezeichnet. Es soll Anwendern dabei helfen, die Schwere einer bestimmten Sicherheitslücke für sich selbst abzuschätzen. Dazu enthält die Matrix Angaben zu folgenden Punkten:

- notwendige Zugangsprivilegien, um eine Schwachstelle auszunutzen;

- Kennungen und sonstige Bedingungen, die für das Ausnutzen erforderlich sind;

- das jeweilige Risiko, kategorisiert nach Vertraulichkeit, Integrität und Verfügbarkeit;

- früheste betroffene Version eines Produkts;

- die Komponente, die die Schwachstelle enthält;

- mögliche Workarounds. (ave)