De Java-maker meldt zijn kritieke update van morgen (16 april) alvast in een pre-release aankondiging. Het houdt daarbij nog een slag om de arm voor wat betreft de aangekondigde informatie. De inhoud daarvan kan nog wijzigen vóór de zogeheten Critical Patch Update (CPU) voor Java uitkomt. Deze verzameling van patches dicht verschillende beveiligingsgaten in de SE-variant (Standard Edition) van Java.

Oracle: gevaar

De aankomende monsterpatch brengt in totaal 42 fixes voor kwetsbaarheden in het veelgeplaagde en bekritiseerde Java. Dit betreft geheel nieuwe fixes, meldt Oracle. "Vanwege het gevaar van succesvolle aanvallen, raadt Oracle met klem aan dat klanten de Critical Patch Update-fixes zo snel mogelijk toepassen", stelt de leverancier ronduit in zijn vooraankondiging.

Van de 42 te dichten gaten zijn er namelijk 39 die op afstand zijn te misbruiken door kwaadwillenden. Aanvallers hebben hierbij ook geen authenticatie op het doelwitsysteem nodig om hun aanval succesvol uit te voeren. De kwetsbaarheden zijn "te misbruiken via een netwerk zonder de noodzaak voor een gebruikersnaam of wachtwoord", aldus Oracle.

Voor vele Java-versies

Het valt te verwachten dat malwaremakers, crackers en andere cybercriminelen zich op deze nieuwste gaten zullen storten. Het gaat namelijk niet alleen om de nieuwste Java-versie, maar ook om oudere versies. Die blijken in de praktijk nog altijd veel in gebruik te zijn.

De gaten die Oracle aanpakt met de aankomende kritieke CPU betreffen vele verschillende Java-versies. Naast de huidige 7-reeks, tot en met de meest actuele Update 17, heeft de monsterpatch betrekking op Java 6 Update 43 en ouder, Java 5 met Update 41 en ouder, naast nog JavaFX versie 2.2.7 en ouder. Laatstgenoemde komt sinds Java SE 7 Update 6 automatisch mee in die standaardeditie.

Hoogste CVSS-score

De softwaremaker hanteert de standaardweging van het Common Vulnerability Scoring System (CVSS) 2.0 voor de inschatting van de kwetsbaarheden. De monsterpatch die morgen uitkomt, bevat minstens één fix voor een beveiligingsgat dat de hoogste CVSS-score 10 meekrijgt. Zo'n score valt te bepalen met de calculator die de National Vulnerability Database online aanbiedt.