Chaque année, Oracle diffuse quatre fournées de mises à jour de sécurité. Cette année 2016 a été marquée par 248 rustines en janvier. La deuxième mise à jour trimestrielle d'avril a été plus calme mais la troisième est synonyme de nouveau record.

patch parkinsonDisponible depuis mardi, cette Critical Patch Update est une collection de 276 patchs de sécurité pour 84 produits différents. Quelque 159 vulnérabilités peuvent être exploitées à distance sans authentification. Oracle Fusion Middleware paie le plus lourd tribut avec 35 vulnérabilités exploitables à distance sur un total de 40.

L'environnement d'exécution Java n'est jamais oublié dans ces mises à jour critiques. Pour Java SE, ce sont 13 vulnérabilités de sécurité à corriger dont 9 peuvent être exploitées par un attaquant non authentifié. Parmi celles-ci, quatre ont un score CVSS 3.0 de 9.6 (sur un maximum de 10.0).

Sont concernés les utilisateurs exécutant Java SE dans les versions 6u115, 7u101, 8u92, ainsi que Java SE Embedded 8u91. Rappelons que le plugin Java pour les navigateurs sera supprimé avec la sortie de Java 9 en septembre prochain.

La prochaine mise à jour trimestrielle d'Oracle - et ultime de 2016 - est programmée pour le 18 octobre 2016. Un nouveau record à la clé ?