De updates voor Java die nu net zijn uitgebracht, dichten vijf kritieke kwetsbaarheden in versies 4, 5, 6 en 7 van die software. Nog oudere versies, die niet langer worden ondersteund, zijn volgens Oracle waarschijnlijk ook kwetsbaar.

'Dreiging van succesvolle aanvallen'

"Vanwege de dreiging van succesvolle aanvallen raadt Oracle klanten ten sterkste aan de CPU-fixes [Critical Patch Update - red.] zo snel mogelijk toe te passen." Het is net aan het licht gekomen dat Facebook en ook Apple zijn aangevallen via 0-day gaten in Java.

De patchronde van deze week brengt de updates die oorspronkelijk gepland stonden voor februari, maar die door een massale lading noodpatches zijn opgeschort. Aanvankelijk stelde de Java-maker dat de vervroegde release de updates bracht die eerst op 19 februari zouden uitkomen. Dat bleek niet te kloppen: de eerste patchronde liet nog enkele gaten open.

Patches plus patches

Die worden gedicht met de tweede ronde van deze maand. Hierbij meldt Oracle ook dat het nog een extra patchronde inlast: op 16 april. "Deze additionele distributie wordt gebruikt om Java-securityfixes voor Java-gebruikers verder te versnellen", stelt de softwareproducent. Deze extra ronde komt naast de al geplande updates in juni en oktober dit jaar en in januari komend jaar.

Java ligt al geruime tijd onder vuur; van succesvolle malwaremakers en van kritische security-experts. Waarom is Java zo gevaarlijk? Webwerelds zustersite Computerworld.nl licht toe.