Oracle heeft tijdens de patchronde van april 441 patches uitgebracht voor een groot aantal kritieke kwetsbaarheden, onder andere in Oracle WebLogic Server, een product dat in het verleden geregeld is aangevallen. De 441 patches willen niet zeggen dat er 441 kwetsbaarheden zijn. Sommige kwetsbaarheden zijn in meerdere producten aanwezig waar aparte patches voor worden gemaakt.

In het overzicht van beveiligingslekken staan meerdere kwetsbaarheden met een impactscore van 9.8 of 9.9 op een schaal van 10. Het gaat onder andere om Oracle Hospitality Simphony, Oracle Commerce Platform, Oracle Communications Network Integrity, Oracle Application Testing Suite, Oracle Enterprise Manager for Fusion Middleware, Oracle HTTP Server, Oracle Identity Manager, Oracle Internet Directory, Oracle Web Services Manager, Oracle Solaris Cluster en Oracle WebLogic Server.

Via de kritieke beveiligingslekken kan een ongeauthenticeerde aanvaller kwetsbare systemen in het ergste geval op afstand overnemen. Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. Meerdere keren werden WebLogic-lekken kort na het uitkomen van de patches misbruikt.

Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor het al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren.

In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor 16 juli.