Chaque année, Oracle procède à quatre publications de sécurité critiques en respectant un calendrier établi à l'avance. Ce programme Critical Patch Update a donné lieu en janvier dernier à un record avec 248 patchs pour plus d'une cinquantaine de produits.

Oracle-logo La deuxième publication de 2016 ne remet pas en cause ce record avec " seulement " 136 patchs de sécurité pour 49 produits parmi lesquels Oracle Database Server, Oracle Sun Systems Products Suite, MySQL ou encore Java SE.

Sur les 136 patchs, sept sont en rapport avec un score CVSS 2.0 (Common Vulnerability Scoring System) de 10.0, soit la dangerosité maximale. En l'occurrence, quatre pour Java SE, deux pour MySQL et un pour Oracle Sun Systems Products. Oracle a toutefois opéré une transition pour passer de la norme CVSS 2.0 à 3.0.

Avec la version 3.0 de ce système d'évaluation du niveau de dangerosité des vulnérabilités, il n'y a aucun score 10.0. Cela ne veut pas dire pour autant qu'il y a moins de vulnérabilités critiques avec CVSS 3.0. C'est même le contraire avec 9 failles critiques au sens CVSS 2.0 et 17 selon CVSS 3.0 (score de 9.0 à 10.0). D'une manière globale, CVSS 3.0 - qui est censé être plus précis - augmente le score de dangerosité des vulnérabilités par rapport à CVSS 2.0.

Comme d'habitude, Oracle recommande fortement d'appliquer les correctifs de sécurité sans tarder, et souligne recevoir régulièrement des rapports de tentatives d'exploitation de vulnérabilités pour lesquelles il existe pourtant un correctif.

Rappelons par ailleurs que le plugin Java pour les navigateurs Web sera supprimé à la suite de la sortie de Java 9 prévue d'ici la fin du mois de septembre prochain. La prochaine fournée trimestrielle d'Oracle est programmée pour le 19 juillet.