Oracle will künftig Sicherheitslücken nicht mehr ad hoc beseitigen, sondern entsprechende Patches gesammelt an einem Tag im Monat veröffentlichen. Microsoft verfährt bereits seit Oktober 2003 nach diesem Verfahren und bringt Bugfixes an jedem zweiten Dienstag im Monat heraus (Computerwoche.de berichtete).

Ein umfassender Bugfix, der mehrere Sicherheitslücken auf einmal schließt und zu einem festgelegten Zeitpunkt verfügbar ist, komme den Bedürfnissen der Kunden entgegen, heißt es bei Oracle. Anwender sind sich hingegen nicht einig, ob es besser ist, einmal im Monat einen Sammel-Patch einzuspielen, oder wie bisher entdeckte Lecks möglichst schnell zu beseitigen.

Dem neuen Modell kritisch gegenüber steht die Deutsche Oracle-Anwendergruppe (DOAG). Es sei ein Nachteil, einen festen Zyklus abwarten zu müssen, um erkannte Sicherheitslücken schließen zu können, sagte DOAG-Vorstand Rolf Scheuch. Das Einspielen der Bugfixes sei in jedem Fall problematisch, weil dazu die Systeme angehalten werden müssten. In diesem Zusammenhang sei die Reduzierung der Patch-Vorgänge auf zwölf pro Jahr hilfreich. Scheuch fordert jedoch weitere Vereinfachungen von Oracle.

Vorteile sieht dagegen Gerhard Eschelbeck, Chief Technology Officer beim IT-Sicherheitsdienstleister Qualys. Anwender können so System-Updates besser planen, da der überraschende "Patch of the Day" wegfalle. Das könne dazu beitragen, dass das Einspielen der Sicherheits-Updates nicht auf die lange Bank geschoben werde. Bestätigt sieht Eschelbeck seine These durch eine Untersuchung, die er im Juli auf der Hacker-Konferenz Black Hat Security Briefings vorgestellt hat. Demnach haben Anwender die Halbwertszeit der Sicherheitslücken - also die Zeit, die es dauert, bis auf der Hälfte aller verwundbaren Systeme Patches eingespielt werden - im vergangenen Jahr von 30 auf 21 Tage gesenkt (Computerwoche.de berichtete). (lex)