Oracle a dû livrer un important paquet de patchs pour corriger 21 vulnérabilités critiques dans Java SE et Java for Business. La majorité des vulnérabilités que vient réparer cette mise à jour critique concernent le JRE (Java Runtime Environment). Oracle et les experts en sécurité de produits tiers exhortent les administrateurs à déployer cette mise à jour sans délai. Ces failles peuvent en effet être exploitées sans authentification, ce qui signifie que les attaquants n'auraient même pas besoin de nom d'utilisateur et de mot de passe pour en tirer profit.

Sur une échelle de 10, huit vulnérabilités affichent le degré de gravité le plus élevé, deux autres sont notées 7,6 et quatre autres 5. Selon Oracle, 13 des 21 vulnérabilités affectent les déploiements client de Java, et 12 parmi les 13 peuvent être exploitées via des applications Java Web Start et des applets Java non fiables, qui s'exécutent dans la sandbox Java avec des privilèges limités. L'une des vulnérabilités client affecte le composant Java Update spécifique à Windows. 

Trois vulnérabilités touchent les déploiements client et serveur. Elles peuvent également être exploitées par des applications et des applets non fiables, et par des données injectées à des API particulières via un service Web, par exemple. Trois autres failles ne concernent que les déploiements serveur de Java et peuvent être exploitées par l'introduction de données malveillantes dans les API de certains composants Java. Oracle précise que l'une de ces vulnérabilités a déjà été corrigée dans le cadre du correctif d'urgence publié le 8 février. Enfin, l'une de ces failles est spécifique à Java DB, un composant du Java JDK, qui n'est pas inclus dans le JRE.

La mise à jour est disponible sur le site d'Oracle, ainsi que toutes les détails la concernant.