A mostani negyedéves Oracle frissítőcsomag - bár szokásosan szűkszavú - tartalmaz néhány izgalmat: 

Először is, a cég összesen 109 hibát javít különböző Oracle termékekben, ezen kívül pedig 30 Java biztonsági frissítés is érkezett. A cég a továbbiakban a Java biztonsági frissítéseket a rendszeres negyedéves CPU-kkal együtt adja ki, háromról négyre emelve a keretrendszer éves frissítéseinek számát. 

A legtöbb felhasználót érintő Java sérülékenységek egyharmada 10.0-ás CVSS-t kapott, itt tehát a szokásos böngéssz-és-hódolj (elismerem, gagyi fordítás) forgatókönyv játszik, azonnali frissítés javasolt. Ezen kívül a Java 2D csomagja szerver-oldali alkalmazásokat is távoli kódfuttatásnak tehet ki.

Mac felhasználók számára érdekes fejelmény, hogy az Apple az Oracle frissítésének kiadásával párhuzamosan letolt egy saját Update-et is, ami leszedi a Java futtatókörnyezetet, hogy a felhasználókat az Oracle változatának használatára kényszerítse. (Kommentbe írja már meg valaki, hogy az Oracle Java frissíti-e magát Mac-en, köszi!)

Az Oracle RDBMS-el kapcsolatban a legfontosabb javítás a már tárgyalt, jelszavak offline brute-force-olását lehetővé tevő protokoll sérülékenységet szünteti meg. Ehhez hasonlóan 10.0-ás CVSS besorolást kapott a JRockit egyik sérülékenysége, a Solaris TCP/IP stackjében távoli DoS problémákat javítottak, és a MySQL Information Schemáját érintő, autentikáció után komplett kontrollt biztosító (CVSS 9.0) sérülékenysége is határozottan érdekesnek látszik. 

Az Oracle frissítési politikáját ebben a hónapban a Fusion Middleware-rel kapcsolatos 9 hibát bejelentő Travis Emmert részéről éri kritika (korábbi eszmefuttatások például itt és itt olvashatók): a szakértő OWASP Top10-es hibákat talált az Oracle webalkalmazásaiban, és jogosan teszi fel a kérdést, hogy hogyan maradhatnak ilyen pofonegyszerűen feltárható és javítható hibák egy ekkora gyártó termékeiben egyáltalán? Emmert kétségbe vonja, hogy egyáltalán bármilyen biztonsági tesztelési rendszer érvényben lenne az Oracle-nél, miközben a felhasználók jogosan várnák el, hogy ilyen kaliberű (és árú) termékeknél ilyen alapvető problémák már ne forduljanak elő. A szakértő újra felemlegeti, hogy az Oracle a javított hibák jellegéről (CWE azonosító) semmilyen információt nem ad, így nehezen felmérhető, hogy egy adott probléma a gyakorlatban hogyan is érint egy telepítést.

További észrevétel, hogy a frissítési folyamat végtelenül lassú, és hogy a bejelentőknek ugyan köszönetet mond a gyártó, de nem rendeli őket a bejelentett sérülékenységeikhez, így a sebezhetőség-információk kategorizálása problémákba ütközik.

A magam részéről most is a CVSS számításon rugóznék: az ugyanis, hogy a kritikus Java javítások értékelését 10.0-ről - az Impact értékeket Complete-ről Partalra változtatva - 7.5-re  csökkentené a gyártó, ha a böngésző felhasználó korlátozott jogú, szvsz. a probléma bagatelizálása, a tipikus Java kártevőnek ugyanis bőven elég, ha az aktuális felhasználó adataihoz hozzáfér, az adminisztratív jog már csak hab a tortán.