das vorhandensein von sicherheitslücken ist aufgrund der komplexität moderner software normal, doch wenn solch eine lücke entdeckt wird, muss man sie zeitnah schließen. das gilt umso mehr, wenn die lücke bereits aktiv ausgenutzt wird! wenn ein softwareanbieter dann einfach nur auf den nächsten parchday in einigen monaten verweist und bis dahin bei millionen von rechnern eine scheunentorgroße sicherheitslücke klafft, ist das unverschämt.
dass jetzt so viel auf oracle rumgehackt wird, hat seinen grund. in den vergangenen monaten gab es mehrere derartige fails bei denen. eine schwachstelle in ihrer berühmten db werden sie erst in der zukünftigen version 12 beheben, obwohl auch die aktuelle 11er version betroffen ist. bei java werden einfach mal patches zurückgehalten, weil sie für den anstehenden patchday zu spät dran gewesen seien. und und und
sicherheitsupdates müssen zeitnah verteilt werden und nicht quartalsweise. das kann man mit funktionserweiterungen und unkritischen bugfixes machen, aber nicht mit kritischen sicherheitsupdates.
dass jetzt so viel auf oracle rumgehackt wird, hat seinen grund. in den vergangenen monaten gab es mehrere derartige fails bei denen. eine schwachstelle in ihrer berühmten db werden sie erst in der zukünftigen version 12 beheben, obwohl auch die aktuelle 11er version betroffen ist. bei java werden einfach mal patches zurückgehalten, weil sie für den anstehenden patchday zu spät dran gewesen seien. und und und
sicherheitsupdates müssen zeitnah verteilt werden und nicht quartalsweise. das kann man mit funktionserweiterungen und unkritischen bugfixes machen, aber nicht mit kritischen sicherheitsupdates.