Компания Oracle выпустила очередные плановые корректирующие выпуски JavaSE - Java SE 7 Update 9 и Java SE 6 Update 37, в которых устранено 30 уязвимостей, 10 из которых присвоен критический уровень опасности, связанный с возможностью выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.
29 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. 27 уязвимостей выявлено в Java Runtime Environment и 3 в JavaFX. Из 27 уязвимостей в JRE две проблемы найдены в 2D-подсистеме, 2 в Java Beans, 4 в Deployment Toolkit, 2 в JAX-WS, 5 в JMX, 5 в библиотеках, 2 в подсистеме безопасности, 1 в Swing, 1 в Hotspot VM, 1 в Concurrency, 1 в JSSE, 1 в сетевой подсистеме.
Одновременно выпущены обновления IcedTea 2.1.3, 2.2.3 и 2.3.3, полностью открытой реализации Java SE 7, построенной на базе OpenJDK и виртуальной машины HotSpot, с использованием свободных средств сборки. В новой версии устранено 25 уязвимостей.
Кроме того, компания Oracle выпустила обновления и для СУБД MySQL в котором устранено 14 уязвимостей, две из которых можно эксплуатировать удалённо без необходимости прохождения стадии авторизации. Наиболее опасной из исправленных уязвимостей присвоен вес 9 из 10 баллов, но данная проблема проявляется только на платформе Windows. Для Linux, Unix и других платформ максимальная степень опасности проблем оценена в 6.5 баллов. Из других открытых продуктов Oracle несколько уязвимостей также устранены в Solaris, Glassfish и VirtualBox, но степень опасности для этих проблем оценена как невысокая.