Podatności we wtyczce Java są regularnie wykorzystywane przez cyberprzestępców do wprowadzania złośliwego oprogramowania, a zatem aktualizacja luk stała się zadaniem priorytetowym dla Oracle'a.

Najnowsza aktualizacja Java 7 Update 15 oraz Java 6 Update 41 usuwa pięć dodatkowych dziur, których nie udało się załatać w poprzedniej aktualizacji, wydanej poza zwykłym cyklem. Zazwyczaj aktualizacje wprowadzano co 4 miesiące, ale luka była krytyczna, powszechnie znana i bardzo aktywnie wykorzystywana przez przestępców do infekcji komputerów (zarówno Windows, jak i OS X na komputerach firmy Apple).

Cztery z wymienionych podatności można było wykorzystać za pomocą aplikacji Java Web Start albo wtyczki w przeglądarce internetowej. Trzy z nich były oznaczone najwyższą możliwą oceną podatności według Common Vulnerability Scoring System scale - 10 - co oznacza, że podatność jest krytyczna, może być wykorzystana do całkowitego przejęcia kontroli nad systemem, naruszając prywatność, integralność i dostępność systemów, w których Java pracuje z uprawnieniami administratora (takim systemem jest Windows XP). W innych systemach, w których Java pracuje z ograniczonymi uprawnieniami, na przykład w systemach Linux lub Solaris, wpływ podatności był znacznie mniejszy, gdyż poważnie utrudniał włamywaczom przejęcie kontroli nad systemem.

Piąta podatność miała znaczenie przy serwerowym wdrożeniu Java Secure Socket Extension (JSSE) i umożliwiała ujawniony w tym miesiącu atak o nazwie Lucky Thirteen na implementacje SSL/TLS, umożliwiając między innymi kradzież danych.

Java 6 dla Windows tylko na stronach Oracle

Aktualizacja Java 6 Update 41 jest dostępna na stronach Oracle, ale nie można jej pobrać ze strony Java.com, ponadto niezbędna jest ręczna instalacja poprawki. Automatyczna aktualizacja proponuje instalację wersji Java 7 Update 15 - jest to zaplanowane działanie, które miało na celu migrowanie użytkowników do JRE 7.

Poprawki będą dostarczane częściej

Oracle zamierza znacznie przyspieszyć cykl wydawania poprawek do platformy Java. Następne poprawki Critical Patch Update for Java SE będą wydane 16 kwietnia, razem z krytycznymi poprawkami dla innych produktów Oracle'a. Następne aktualizacje są zaplanowane na 18 czerwca.