Oracle veröffentlicht 245 Sicherheits-Patches im Juni-CSPU

Zusammenfassung

Oracle hat sein Critical Security Patch Update für Juni 2026 veröffentlicht und damit die zweite monatliche Patch-Runde seit Einführung dieses zusätzlichen Update-Zyklus ausgeliefert. Das Unternehmen hält zwar an seinen vierteljährlichen Critical Patch Updates fest, ergänzt diese nun aber durch monatliche Patches für schwerwiegendere Schwachstellen. Die neue Ausgabe umfasst nach Angaben von Oracle 245 neue Korrekturen für mehrere Produktbereiche, darunter Communications, E-Business Suite, Enterprise Manager, Fusion Middleware, JD Edwards, MySQL, PeopleSoft, Siebel CRM, Supply Chain, Systems und Virtualization. Etwa 120 der behobenen Schwachstellen stuft Oracle auf Basis des CVSS als kritisch ein. Für 100 Lücken gilt laut Hersteller zudem, dass sie sich aus der Ferne und ohne Authentifizierung ausnutzen lassen. Besonders stark betroffen ist Oracle Fusion Middleware: Dort wurden mehr als 100 Schwachstellen geschlossen, von denen die große Mehrheit als kritisch oder hoch eingestuft ist. Oracle verweist in seinem Sicherheitshinweis außerdem darauf, dass Angreifer immer wieder versuchen, bereits gepatchte Schwachstellen böswillig auszunutzen.

Mit dem Juni-Update legt Oracle die zweite monatliche Ausgabe seines Critical Security Patch Update vor. Der Hersteller hatte kürzlich begonnen, seine weiterhin bestehenden vierteljährlichen Critical Patch Updates um monatliche Veröffentlichungen zu ergänzen, um schwerwiegendere Sicherheitslücken schneller zu adressieren.

Nach Angaben des Unternehmens bringt die aktuelle Patch-Runde 245 neue Korrekturen. Betroffen sind Produkte aus den Bereichen Communications, E-Business Suite, Enterprise Manager, Fusion Middleware, JD Edwards, MySQL, PeopleSoft, Siebel CRM, Supply Chain, Systems und Virtualization.

Oracle zufolge tragen rund 120 der behobenen Schwachstellen eine kritische Bewertung auf Grundlage des CVSS. 100 der Lücken lassen sich demnach aus der Ferne ohne Authentifizierung ausnutzen. Ein Schwerpunkt des Updates liegt auf Oracle Fusion Middleware: Allein dort wurden mehr als 100 Sicherheitslücken geschlossen, von denen die große Mehrheit als kritisch oder hoch eingestuft ist.

In seinem Advisory weist Oracle darauf hin, dass das Unternehmen weiterhin regelmäßig Berichte über Versuche erhält, bereits gepatchte Schwachstellen böswillig auszunutzen. Wörtlich erklärt der Hersteller, er erhalte fortlaufend Hinweise auf solche Angriffsversuche. In manchen Fällen seien Angreifer erfolgreich gewesen, weil betroffene Kunden verfügbare Oracle-Patches nicht eingespielt hätten.

Hinweise auf die Ausnutzung von Zero-Day-Schwachstellen nennt Oracle in diesem Zusammenhang jedoch nicht. Auch im aktuellen Juni-Hinweis findet sich laut Quelltext keine Bestätigung für aktiv ausgenutzte, bislang ungepatchte Lücken.

Zuletzt hatten Sicherheitsfirmen berichtet, dass die Cybercrime-Gruppe ShinyHunters eine Oracle-PeopleSoft-Schwachstelle mit der Kennung CVE-2026-35273 ausnutzt. Die Angriffe richteten sich Berichten zufolge gegen mindestens 100 Organisationen, viele davon aus dem Bildungssektor. Oracle hat Nutzer aufgefordert, die Schwachstelle zu patchen.

Eine ausdrückliche Bestätigung einer Ausnutzung in freier Wildbahn findet sich in der öffentlichen Dokumentation des Herstellers laut Quelltext allerdings nicht. Zwar wird CVE-2026-35273 auch im Advisory zum Juni-CSPU erwähnt, Informationen über eine aktive Ausnutzung enthält der Hinweis dort aber nicht.

Oracle veröffentlicht 245 Sicherheits-Patches im Juni-CSPU

Ähnliche Artikel

Neueste Artikel