Ein etwas besseres Ergebnis als erwartet legt Oracle im dritten Geschäftsquartal vor. Die Produktstrategie scheint aufzugehen. Bis Oracle aber etablierte Konkurrenten wie AWS oder Salesforce überholen kann, wie es bei der Vorstellung der Quartalszahlen angekündigt hat, werden wohl noch einige Quartale ins Land ziehen.
Oracle bietet inzwischen eine eigene Public-Cloud. Für Anwender, die Oracle auf Amazon Web Services nutzen, könnte es künftig deutlich teurer werden.
Über 100 davon können aus der Ferne ohne Anmeldedaten ausgenutzt werden. Die Mehrzahl ist über eine HTTP-Verbindung zugänglich. Oracle veröffentlicht vierteljährlich Sicherheitsupdates.
Vier Schwachstellen sind mit 9,6 von 10 Punkten bewertet. Sie lassen sich ohne Authentifizierung über das Netzwerk ausnutzen. Oracles Juli-Patchday bringt Fixes für insgesamt 276 Anfälligkeiten in MySQL, Virtualbox, den Oracle-Datenbankservern und weiteren Produkten des Unternehmens.
Die “faire Nutzung” der fraglichen 37 Java-Programmierschnittstellen durch Google wurde nun von den Geschworenen bestätigt. Der Internetkonzern muss für Erste somit keinen Schadenersatz an Oracle zahlen. Oracle wiederum will nun Beschwerde gegen das Urteil einlegen.
Im Rahmen seines April-Patchdays verteilt das Unternehmen Patches für neun Java-Anfälligkeiten. Eine der Lücken ermöglicht das Einschleusen von Schadcode aus der Ferne ohne Interaktion mit einem Nutzer. In seinen anderen Produkten schließt Oracle weitere 127 Sicherheitslücken.
Sie steckt in Java SE 7 und 8 für Windows, Mac OS X, Linux und Solaris. Die Sicherheitslücke ist bereits öffentlich bekannt. Oracle stuft sie als “kritisch” ein, da Angreifer sie ausnutzen können, um ein System vollständig zu übernehmen.
Die nun wieder aufgetauchte Lücke wurde eigentlich schon im Herbst 2013 geschlossen. Jedoch ist der Patch unvollständig und ermöglicht weiterhin einen Sandbox-Bypass. Verwundbar sind demnach die Versionen 7 Update 87 und 8 Update 74. Überdies soll sich das Leck auch in aktuellen Builds von Java 9 finden.
Die Lücke findet sich in Java SE 6, 7, und 8 für Windows. Ausnutzbar ist sie aber nur während der Installation von Java. Allerdings könnte ein Angreifer dann die komplette Kontrolle über ein betroffenes System übernehmen.
Das voraussichtlich im März 2017 veröffentlichte Java SE Development Kit wird demnach erstmals ohne die unsichere Erweiterung ausgeliefert. Entwicklern, die auf die von dem Java-Plug-in unterstützten Java-Applets angewiesen sind, rät Oracle zum Umstieg auf die Plug-in-freie Java-Web-Start-Technologie.
