Компания Oracle представила плановый выпуск обновлений своих продуктов, в которых в сумме устранено 154 уязвимости.
В выпусках Java SE 8u65 и 8u66 устранено 25 проблем с безопасностью, из которых 24 могут быть эксплуатированы удалённо без проведения аутентификации. 7 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все критические уязвимости отмечены как легко эксплуатируемые по сети, но проявляющиеся только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты). 5 проблем, максимальная степень опасности которых 7.6, затрагивают не только клиентские, но и серверные системы.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- 28 уязвимостей в MySQL (максимальный уровень опасности 6.4). Проблемы устранены в сентябрьских выпусках MySQL Community Server 5.6.27 и 5.5.46.
- 12 уязвимостей в Solaris (максимальный уровень опасности 6.6), в том числе удалённо эксплуатируемая уязвимость в INETD;
- 3 уязвимости в VirtualBox (максимальная степень опасности 4.9, все проблемы имеют локальный характер). Уязвимости уже устранены в обновлениях VirtualBox 5.0.8 и 4.3.32, 4.2.34, 4.1.42, 4.0.34;