Az Oracle elismerte, hogy komoly biztonsági problémák vannak a Java-val, ezért három új kezdeményezést is bejelentett annak érdekében, hogy helyrehozzák a dolgokat. Ezek közül az első nem mindenki tetszését fogja elnyerni, ugyanis eddig évente háromszor adtak ki új verziót a szoftverből, de mostantól a frissítések a negyedévente érkező Oracle Critical Patch Update részeként fognak érkezni. Az Oracle CPU több tucat szoftverhez tartalmaz javítócsomagokat, így ha ezzel együtt adják ki a Java frissítéseket is, akkor az komoly többletmunkát jelent a szakembereknek a csomag megérkezésekor.

Az Oracle úgy döntött, hogy megváltoztatja a Java biztonsági frissítések számozását, amire egy szakértő ennyit reagált: "mintha nem lenne már most is eléggé zavaró". A változásokat az Oracle a saját weboldalán hozta nyilvánosságra az elmúlt héten. "A Limited Update kiadások a 20 többszöröseit kapják verziószámként, illetve a Critical Patch Update-ek pedig továbbra is páratlan számúak lesznek. Ezeket a számokat úgy számolják ki, hogy az előző Limited Update verziójához az öt többszöröseit adják hozzá, illetve ehhez hozzáadnak egyet, ha páros lenne a szám". A Limited Update-ek azok a frissítések, amelyekbe új funkciók kerülnek be, de nem lesznek hibajavítások, a Critical Patch Update-ek pedig a sérülékenységekre készült javításokat fogják tartalmazni.

A Java több, az elmúlt hónapokban nagy nyilvánosságot kapott sérülékenységtől szenved(ett), és jelenleg úgy tűnik, hogy az Oracle képtelen megfelelően kijavítani ezeket a hibákat, ezért a gyártónak muszáj lesz erőteljes lépéseket tennie a biztonság növelése érdekében. "Az Oracle-nek lépéseket kell tennie, és újra kell terveznie a Java-t, mielőtt az emberek teljesen elvesztik beléje vetett hitüket, és mielőtt ez az aggodalom átszivárogna más Oracle termékekbe is", mondta Andrew Storms az nCircle Security vezetője. Storms és mások is azután reagáltak, hogy közel két héttel ezelőtt felbukkant egy új 0-day sérülékenység a Java böngésző bővítményében, és amit azóta már számos exploit kit képes kihasználni. Az Oracle kiadott egy javítást, de a szakértők szerint ebben is van még hiba.

A PTA CERT-Hungary (Nemzeti Hálózatbiztonsági Központ) már tájékoztatást adott az Oracle Java JRE és JDK termékét érintő kritikus szoftver sérülékenységről. Jelen dokumentum egy összefoglalót tartalmaz a 2013. január 18-án, rendelkezésre álló információk alapján.

A kiberbűnözők alvilágában egy korábban ismeretlen, 0-day biztonsági hibát kihasználó exploitot árulnak, amely segítségével át lehet venni az Oracle Java-t futtató rendszer felett az irányítást. A jelenleg is eladásra kínált hibát egy meghívásos alapon működő fórum egyik tagja árulja, aki szerint a sérülékenység a legújabb Java 7 Update 9 verzióban is ki lehet használni (az illető szerint a Java 6 és korábbi verziókban nem található meg a sérülékenység). A gyártó közlése alapján a hiba a MidiDevice.Info osztályban van, amely az audio ki- és bemenetet kezeli. A felfedező szerint minden 7-es verzión kihasználható az exploit, mind Firefox, mind MS Internet Explorer alatt, Windows 7 operációs rendszeren.

A 2012 októberi Oracle Critical Patch Update több száz termék 109 sérülékenységét javítja, amelyek között van számos olyan is, amely azonnali beavatkozást igényelnek azoktól a vállalatoktól, ahol fizetős és ingyenes Oracle szoftvereket alkalmaznak. Az Oracle Database Server Core RDBMS és az Oracle JRockit sérülékenységeit javító csomagokat telepíteni kell amint lehetséges, mivel mindegyikben van 10 pontos sérülékenység, amely azt jelenti, hogy távolról, autentikáció nélkül kihasználható, és a sérülékeny rendszer feltörését, illetve a bizalmas, vállalati adatok kompromittálódását teszi lehetővé. Az Oracle MySQL 14 sérülékenysége került most javításra, amelyek közül a legveszélyesebb egy 9 pontos sérülékenység, amelyet távolról, hitelesítés nélkül lehet kihasználni. A MySQL legtöbb sérülékenysége hasonló módon távolról, hitelesítés nélkül kihasználható. Az Oracle kiadta a Java Runtime Environment 7 Update 9 és a Java Runtime Environment 6 Update 37 csomagokat is, amelyet szintén ajánlatos a lehető leggyorsabban telepíteni.

Ahogy az Oracle kezd felpörgni a szeptember 30.-án kezdődő san francisco-i JavaOne 2012 konferenciára, a lengyel Security Explorations kutatói egy újabb kritikus Java sérülékenységet jelentettek be. Ha a böngésződben letiltottad a Java-t a múltkori 0-day exploit felbukkanásának hírére, akkor ezt érdemes ismét megfontolnod .. vagy akár a Java teljes kihajítását is? Adam Gowdiak a Security Explorations kutatójának Full Disclosure Seclist-re küldött levelében azt írja, hogy ez a sérülékenység 1 milliárd Oracle Java SE-t használó eszközt veszélyeztet.

A lengyelországi Security Explorations, akik hónapokkal ezelőtt felfedezték a Java SE 7 sérülékenységeket, amiket célzott web alapú támadásokban használtak ki, egy újabb hibát fedezett fel, immár a néhány nappal ezelőtt javított Java kiadásban. A cég nem adott ki semmilyen specifikus részletet a sérülékenység természetéről, érthető okokból, de az alapító és vezérigazgató Adam Gowdiak megerősítette, hogy a sérülékenység a Java SE 7 Update 7 verziót is érinti, amit az Oracle az elmúlt héten adott ki. A sérülékenység a 2012 áprilisában az Oracle felé bejelentett egyéb hibákkal kapcsolatos, és amiket nem javítottak ki a július frissítés alkalmával. Gowdiak elmondta, mint a korábbi sérülékenységek esetén, ki lehet törni a sandbox-ból, így malware-t lehet telepíteni vagy tetszőleges kódot lehet futtatni a rendszeren.

Az Orcale szokatlan módon, de nem teljesen váratlanul, megtörte az évi háromszori kiadású, a Java biztonsági hibáit javító frissítési ciklusát, és kiadták az elmúlt napokban óriási port felvert 0-day sérülékenység javítását, amelyet célzott támadásokban lehetett kihasználni. "A sérülékenység kritikus volta miatt minden felhasználónak javasoljuk, hogy haladéktalanul telepítse a kiadott javítást". A szóvivő elmondta, hogy a javítás csak a böngészőben futó Java-t érinti, a szerver környezetben és a személyi számítógépek standalone alkalmazásait nem.

A kritikus Java sérülékenység, amely miatt a biztonsági szakértők azt javasolják, hogy a felhasználók kapcsolják ki a böngésző Java bővítményét, nem egy új felfedezés az Oracle számára, mivel ők már hónapok óta tudtak róla, és valószínűleg már volt hozzá javítás is, mielőtt felfedezték volna az egyre jobban terjedő exploit-ot. A Security Explorations egy lengyel cég, akik azt állítják, hogy 31 Java sérülékenység részleteit adták át az Oracle-nek áprilisban, és közte volt az is, ami most óriási visszhangot váltott ki. Erről a listáról csak két sérülékenységhez adtak ki javítást az utolsó Java Critical Patch Update (CPU) alkalmával, ami június 12.-én volt.