Ein etwas besseres Ergebnis als erwartet legt Oracle im dritten Geschäftsquartal vor. Die Produktstrategie scheint aufzugehen. Bis Oracle aber etablierte Konkurrenten wie AWS oder Salesforce überholen kann, wie es bei der Vorstellung der Quartalszahlen angekündigt hat, werden wohl noch einige Quartale ins Land ziehen.
Oracle bietet inzwischen eine eigene Public-Cloud. Für Anwender, die Oracle auf Amazon Web Services nutzen, könnte es künftig deutlich teurer werden.
Über 100 davon können aus der Ferne ohne Anmeldedaten ausgenutzt werden. Die Mehrzahl ist über eine HTTP-Verbindung zugänglich. Oracle veröffentlicht vierteljährlich Sicherheitsupdates.
Vier Schwachstellen sind mit 9,6 von 10 Punkten bewertet. Sie lassen sich ohne Authentifizierung über das Netzwerk ausnutzen. Oracles Juli-Patchday bringt Fixes für insgesamt 276 Anfälligkeiten in MySQL, Virtualbox, den Oracle-Datenbankservern und weiteren Produkten des Unternehmens.
Die “faire Nutzung” der fraglichen 37 Java-Programmierschnittstellen durch Google wurde nun von den Geschworenen bestätigt. Der Internetkonzern muss für Erste somit keinen Schadenersatz an Oracle zahlen. Oracle wiederum will nun Beschwerde gegen das Urteil einlegen.
Im Rahmen seines April-Patchdays verteilt das Unternehmen Patches für neun Java-Anfälligkeiten. Eine der Lücken ermöglicht das Einschleusen von Schadcode aus der Ferne ohne Interaktion mit einem Nutzer. In seinen anderen Produkten schließt Oracle weitere 127 Sicherheitslücken.
Sie steckt in Java SE 7 und 8 für Windows, Mac OS X, Linux und Solaris. Die Sicherheitslücke ist bereits öffentlich bekannt. Oracle stuft sie als “kritisch” ein, da Angreifer sie ausnutzen können, um ein System vollständig zu übernehmen.
Die nun wieder aufgetauchte Lücke wurde eigentlich schon im Herbst 2013 geschlossen. Jedoch ist der Patch unvollständig und ermöglicht weiterhin einen Sandbox-Bypass. Verwundbar sind demnach die Versionen 7 Update 87 und 8 Update 74. Überdies soll sich das Leck auch in aktuellen Builds von Java 9 finden.
Die Lücke findet sich in Java SE 6, 7, und 8 für Windows. Ausnutzbar ist sie aber nur während der Installation von Java. Allerdings könnte ein Angreifer dann die komplette Kontrolle über ein betroffenes System übernehmen.
Das voraussichtlich im März 2017 veröffentlichte Java SE Development Kit wird demnach erstmals ohne die unsichere Erweiterung ausgeliefert. Entwicklern, die auf die von dem Java-Plug-in unterstützten Java-Applets angewiesen sind, rät Oracle zum Umstieg auf die Plug-in-freie Java-Web-Start-Technologie.
Eine Unachtsamkeit des Nutzers während des Java-Update-Vorgangs sorgt dafür, dass die Startseite und die Suchfunktion in den Browsern Firefox, Chrome und Internet Explorer standardmäßig zu Yahoo geändert werden. Die Toolbar lässt sich nur manuell entfernen. Entsprechende Anleitungen stellt unter anderem Oracle selbst bereit.
Eine schon seit Juli bekannte Lücke ermöglicht das Aushebeln der Sicherheitsfunktion Click-to-Play. Bei Angriffen auf die NATO und die US-Regierung haben sie Hacker schon ausgenutzt. In der Summe schließt Oracle 25 Lecks in Java SE.
Version 5.7 der Open-Source-Datenbank soll sich auch leichter administrieren und skalieren lassen. Die höhere Leistungsfähigkeit von MySQl 5.7 im Vergleich zur Vorgängerversion zeigt sich in Benchmarks in einer dreimal höheren Abfragegeschwindigkeit.
Gast-Betriebssyteme erkennen in Oracles kostenloser Virtualisierungslösung nun direkt an den Wirt angeschlossene USB-3.0-Geräte. Virtualbox erlaubt jetzt zudem das Verschieben von Inhalten sowohl im Gast- als auch im Hostsystem per Drag and drop. Ebenso integriert es ab sofort Paravirtualisierungstechniken und AES-256-Datenverschlüsselung.
Vier der in Java SE geschlossenen Sicherheitslücken erhielten die höchste Risikobewertung 10 von 10. Die meisten der behobenen Schachstellen lassen sich ohne Authentifizierung aus der Ferne ausnutzen. Patches lifert Oracle außerdem unter anderem für seinen Datenbank-Server sowie für MySQL.
Das Tool klärt laut Anbieter primär die Frage, ob Performance-Probleme bei Anwendungen auf die Datenbank zurückzuführen sind. Hierfür überwacht die Software kontinuierlich SQL-Server-, Oracle-, Sybase- und DB2-Datenbanken auf physischen, cloud-basierenden und VMWare-Servern. Die aktuelle Version 9.0 erkennt zudem Ein- und Ausgabe-Probleme beim Storage.
Die Fehler finden sich in den Versionen 6, 7 und 8. Neun der Schwachstellen erlauben Angreifern das Einschleusen und Ausführen von Schadcode. Jeweils ein Leck steckt ausschließlich in den Plug-ins für Mozilla Firefox und Microsoft Internet Explorer.
Er gibt den Posten als CEO ab. Seine Nachfolge treten die langjährige Finanzchefin Safra Catz und der ehemalige HP-Chef Mark Hurd an. Ellison übernimmt den Posten des Chief Technology Officer. Außerdem wurde er vom Board of Directors zum Executive Chairman ernannt.
Ein neues API soll die Interaktion mit Betriebssystem-Prozessen vereinfachen, die nicht auf Java basieren. Neue Funktionen von Java 9 sind offenbar auch die Unterstützung für HTTP/2 und solche, die die Leistung der Java Virtual Machine verbessern.
Das Unternehmen empfiehlt, alle Updates schnellstmöglichst einzuspielen. In Java SE finden sich alleine 20 der nun gefixten Sicherheitslücken, eine mit der höchsten Risikoeinstufung. In MySQL beseitigt Oracle zehn, in Fusion Middleware 29 Schwachstellen. Sie lassen sich von Angreifern teilweise sogar ohne Eingabe von Anmeldedaten aus der Ferne ausnutzen.
Das hat der bei Oracle für die Java-Plattform zuständige Vizepräsident jetzt erklärt. Er tritt damit nach einer Mitteilung Anfang Juli in Umlauf befindlichen Spekulationen entgegen. Java 8 wird es für das altgediente Windows-Betriebssystem allerdings wohl nicht mehr geben.
Java 7 lässt sich jedoch weiterhin auf Microsoft-Betriebssystem verwenden. Oracle gewährleistet allerdings nicht mehr, dass zur Verfügung gestellten Sicherheitsupdates unter Windows XP funktionieren. Das Ausweichen auf Java 8 ist keine Alternative – das lässt sich unter XP nicht reibungslos verwenden.
Das aktualisierte Java Development Kit steht ebenso wie die neue Java Platform, Standard Edition, ab sofort zum Download bereit. Eine der wichtigsten neuen Funktionen im SDK ist die Unterstützung der sogenannten Lambda-Ausdrücke. Oracle vollzieht damit einen Paradigmenwechseln bei der Programmierung.
Nachdem eigentlich schon alles klar war, ist es nun auch offiziell: Nachdem der EuGH auf Anfrage des BGH den Handel mit Lizenzen aus zweiter Hand für zulässig erklärte, schloss sich der Bundesgerichtshofs bereits im Juli 2013 den Vorgaben aus Luxemburg an. Die nun vorliegende Urteilsbegründung räumt auch die allerletzten Zweifel aus.
Das meldet die Cisco-Tochter Sourcefire in ihrem jährlichen Sicherheitsbericht. Auf die Oracle-Software entfällt demnach ein Anteil von 91 Prozent. Allerdings werden sonst nur noch Zahlen für Microsoft Office und Adobe Reader ausgewertet.
Oracle bringt es am Dienstag dieser Woche heraus. Apple stellt wahrscheinlich zeitnah ein Java-Update für Mac OS X bereit. Von den Schwachstellen in Java können Angreifer 34 aus der Ferne und ohne Eingabe von Anmeldedaten ausnutzen.
Die zum turnusmäßigen Patchday im Oktober bereit gestellten Updates beheben Probleme mit den Java-Versionen 5, 6 und 7. Zwölf der Schwachstellen stuft Oracle als kritisch ein – das heißt, Angreifer könnten sie ausnutzen um mit manipulierten Java-Anwendungen Schadcode einzuschleusen und auszuführen.
Apple will Nutzer dadurch zum Umstieg auf Java 7 bewegen. Grundsätzlich schließt Version 1.6.0_65 für OS X 10.7 und höher einige Sicherheitslücken in Java SE 6. Außerdem behebt es laut Apple Kompatibilitätsprobleme. Im Zuge der Installation wird allerdings auch das Browser-Plug-in entfernt.
Das haben die beiden Firmen in einem auf mehrere Jahre angelegten Abkommen vereinbart. Ihnen geht es dabei vor allem um “effiziente Skalierbarkeit für ARM-basierte Mehrkern-Systeme”. Außerdem soll Java SE künftig auch die 64-Bit-Plattform ARMv8 unterstützen.
Der Bundesgerichtshof folgt in seiner aktuellen Entscheidung grundsätzlich den Empfehlungen des EuGH, die Richter verweisen das Verfahren um Gebrauchtsoftware aber zurück an das Oberlandesgericht München. Damit bekommt Oracle noch einmal eine Chance, seine Ansichten darzulegen – und die Softwarehersteller insgesamt Ansatzpunkte, ihre Drohkulisse aufrecht zu erhalten.
