Hãng Oracle vừa đồng loạt phát hành 128 bản vá để sửa các lỗi bảo mật tồn tại trên hàng trăm sản phẩm của mình. Các lỗi này tồn tại từ phần mềm quản trị cơ sở dữ liệu danh tiếng Oracle đến hệ thống Solaris hay các phần mềm cho người dùng doanh nghiệp. Và dĩ nhiên, không thể thiếu “vua zero-day” Java.

Theo thông báo từ Oracle , 4 trong số các bản vá này là để sửa lỗi cho sản phẩm chủ lực Oracle Database. Các lỗi này có thể cho phép tin tặc khai thác từ xa mà không cần thông qua thủ tục xác thực. Ngoài ra, 29 bản sửa lỗi bảo mật khác để “vá” cho Oracle Fusion Middleware. Trong số này, có đến 22 lỗi cho phép tấn công mà không cần xác thực. Các thành phần bị ảnh hưởng bao gồm Oracle HTTP Server, JRockit, WebCenter và WebLogic. Mức độ nghiêm trọng của các lỗi này được Oracle xếp vào mức cao nhất – 10 điểm trên hệ thống CVSS (common vulnerability scoring system) của hãng.

Một loạt các sản phẩm quan trọng của Oracle cũng nhận được các bản vá lần này gồm: E-Business Suite (6 bản sửa lỗi), Supply Chain Products Suite (3), PeopleSoft Products (11) cùng hàng chục bản sửa lỗi cho các sản phẩm mang thương hiệu của Sun (như Solaris, MySQL,…) và cả các sản phẩm tài chính khác của Oracle.

Tâm điểm trong các đợt vá lỗi của Oracle không ai khác chính là “vua zero-day”: Plugin Java trên trình duyệt web. Trong đợt này, Oracle đã phát hành đến 42 bản vá để sửa các lỗi bảo mật cho Java. Trong số này, có đến 39 lỗi liên quan đến vấn đề khai thác từ xa, nghĩa là tin tặc có thể lợi dụng để tấn công qua mạng mà không cần xác thực.

Do phần lớn các bản vá đều được xếp vào mức độ “nghiêm trọng”, Oracle khuyến cáo người dùng có các sản phẩm bị ảnh hưởng cần tiến hành vá càng sớm càng tốt để phòng tránh các mối đe dọa.