È il pacchetto correttivo più sostanzioso della storia di Oracle e, forse, anche di tutti i vendor di software. Ieri il colosso statunitense ha rilasciato ben 248 patch, la maggior parte delle quali collegata a Java Se, la piattaforma sviluppata dall’azienda per l’esecuzione di applicazioni Java su server e computer desktop. L’aggiornamento è parte della release trimestrale Critical Patch Update di Oracle e, secondo la società di sicurezza Erpscan, il pacchetto va a colpire il 64% di vulnerabilità in più rispetto al precedente e circa 2,5 volte la media della compagnia, che finora si fermava a cento problematiche risolte. Sempre secondo Erpscan, cinque falle riportano il punteggio maggiore nel Common Vulnerability Scoring System (Cvss), totalizzando cioè un risultato pari a 10.
In un blog post, Eric P. Maurice, director of software security assurance del vendor, ha scritto che le famiglie di prodotti coinvolte dall’aggiornamento sono diverse e includono l’Oracle Database, Java Se e la E-Business Suite. Nel primo caso, nessuna delle vulnerabilità scoperte sarebbe sfruttabile da remoto, mentre per la piattaforma Java “Oracle consiglia di visitare il sito java.com per assicurarsi di utilizzare la versione più recente di Java e di rimuovere versioni obsolete di Java Se dai computer, se non assolutamente necessarie”.
Maurice non ha però spiegato perché Oracle si sia trovata costretta a questo giro a rilasciare un numero così elevato di correttivi, ma l’advisory pubblicato dal gruppo indica un buon numero di ricercatori esterni che hanno contribuito a scoprire le falle. Tra i nomi delle aziende citate figurano per esempio Google, ErpScan, Hp Zero Day Initiative, Salesforce.com e Onapsis.