C’est le plus important pack de correctifs jamais livré par Oracle. Selon l’entreprise de sécurité ERPScan, spécialisée dans les systèmes SAP et Oracle, cinq des vulnérabilités sont affectées de l'indice de gravité le plus élevé dans la grille du Common Vulnerability Scoring System (CVSS). La plupart des failles concernent Java SE, la plate-forme d’Oracle qui sert à faire tourner des applications Java sur les ordinateurs de bureau et sur les serveurs.
Dans son avis particulièrement long, Oracle recommande aux administrateurs de déployer ces correctifs sans délai. « Oracle reçoit régulièrement des rapports indiquant que des attaquants essayent toujours d’exploiter des vulnérabilités pour lesquelles nous avons déjà publié des correctifs », a déclaré l’éditeur. « Dans certains cas, ces attaques réussissent parce que les clients ciblés ont omis d’appliquer les correctifs disponibles », a ajouté Oracle.
Une surveillance accrue de la part des chercheurs en sécurité
« La majorité des patchs restants corrige des produits très utilisés, comme la base de données Database et la suite E-Business d'Oracle », a déclaré pour sa part Éric Maurice, directeur du Software Security Assurance d'Oracle, sans expliquer pourquoi le nombre de correctifs est aussi élevé cette fois. Mais l’avis crédite de nombreux chercheurs en sécurité et leurs entreprises, dont Google, ERPScan, Zero Day Initiative de HP, Salesforce.com et Onapsis, pour la découverte de certaines vulnérabilités.
Les applications métiers d'Oracle et de SAP font l’objet d’une surveillance accrue de la part des chercheurs en sécurité. Les attaques contre ces systèmes ne sont pas encore très courantes, mais les chercheurs pensent que les pirates vont s’y intéresser davantage en raison des données sensibles qu’ils abritent. Selon ERPScan, les mises à jour trimestrielles d’Oracle comportent en moyenne une centaine de correctifs. Le pack livré mardi est donc particulièrement chargé. « C’est la première fois qu’Oracle livre autant de correctifs en même temps. C’est un vrai record. Aucun éditeur n’a jamais publié autant de correctifs en une seule mise à jour », a encore déclaré ERPScan.
Commentaire