In de ‘January Critical Patch Update’ repareert gigant Oracle enkele ernstige kwetsbaarheden in zijn software. Daaronder drie lekken die een 9.8 op tien krijgen voor ernst en oplossingen voor Spectre en Meltdown.
Oracle heeft in zijn laatste patchronde verschillende updates uitgebracht voor de Spectre- en Meltdown-bugs in Intel-chips. Er worden ook meer dan 230 lekken in verschillende Oracle-programma’s verholpen. De Financial Services Applications krijgen 34 patches, Fusion Middleware 27 en MySQL 25. Ook voor Java waren er heel wat updates: 21.
Volgens erp-beveiligingsspecialist ERPScan waren van de 34 lekken in Financial Services er dertien die via een netwerk uitgebuit konden worden, zonder dat er wachtwoorden moesten worden ingevoerd. Een andere kwetsbaarheid (‘JoltAndBleed’) liet aanvallers toe om volledige controle te krijgen over data in verschillende Oracle erp-systemen.
237 patches lijkt veel, maar dat aantal wordt wel over heel wat producten verdeeld. Het was ook nog lang geen record: in oktober vorig jaar bracht het bedrijf 308 patches uit. De volgende patchronde van Oracle staat gepland voor april.
Oracle zegt geregeld berichten te ontvangen van systemen die zijn gehackt omdat klanten beschikbare patches niet hadden geïnstalleerd. Zo ontdekte beveiligingsfirma Secureworks onlangs Oracle WebLogic-servers waarop cryptocurrency mining software draaide. Alle slachtoffers werden geïnfecteerd via een bekende en al gepatchte kwetsbaarheid (CVE-2017-10271).