四半期毎のセキュリティ更新プログラムが来た

いろいろなソフトウェアがあります。
そしてそれらにはいろいろなセキュリティ更新プログラムがあります。
随時提供されるものもあれば、月に1回のペースで提供されるものもあります。
なかにはもっと低い頻度で提供されるものもあります。
そういったものの一つに、オラクル社のセキュリティ更新プログラムがあります。

オラクルのセキュリティ更新プログラムは年に4回だけ提供されます。
このため、1回のセキュリティ更新プログラムで対応するべき更新内容の数は多くなります。
今回のセキュリティ更新プログラムでは対象製品は174製品もあり、そのセキュリティ更新プログラム群でカバーされるセキュリティ修正はCVE番号の数で表現すると401個もあります。

これらの対応された脆弱性の中に、Java向けのものも含まれます。
今回の範囲ではその数は7個でした。
なんだ少ないじゃないか、と思いましたか？
数は7個でしたが、その7個全部が認証を必要とすることなくリモートから悪用できる属性を持ったものになっています。

先日世界中で大騒ぎとなったLog4jもリモートから悪用できる脆弱性でした。
1つの脆弱性であれだけの騒ぎになったという言い方もできそうではないですか？

オラクルは年に4回のペースでのセキュリティ更新プログラム提供のテンポを基本的に継続しています。
これは見方を変えると、脆弱性を悪用する取り組みを計画する立場では、じっくりと脆弱性の悪用の仕組みを組み立てることができるといえそうに思えます。

そういった意味で考えると、新たなセキュリティ更新プログラムが利用可能になった際にはなるべく速やかに適用することが良策であるといえそうです。
さぁ、今日もパッチを適用していきましょう。
あ、そうそう、適用するのはJava向けのものだけじゃないですよ。

参考記事（外部リンク）：Critical cryptographic Java security blunder patched –
update now!
nakedsecurity.sophos.com/2022/04/20/critical-cryptographic-java-security-blunder-patched-update-now/

参考記事（外部リンク）：Oracle Java SE Risk Matrix
www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA