Mit den frisch bereit gestellten Java-Versionen Java 7 Update 15 und Java 6 Update 41 beseitigt Oracle fünf weitere Schwachstellen, die beim Java-Notfall-Update vom 1. Februar übrig geblieben waren. Für drei dieser Lücken gibt Oracle den CVSS Score 10.0 an, die höchste Risikostufe. Das bedeutet, dass ein Angreifer über das Netzwerk und ohne Benutzeranmeldung recht einfach beliebigen Code einschleusen und ausführen könnte.

Immerhin handelt es sich nicht um Lücken, die bereits für Angriffe im Web ausgenutzt werden. Zwei dieser Lücken betreffen auch Java 6. Für Java 6 ist damit das Ende der Fahnenstange erreicht. Oracle will keine weiteren Sicherheits-Updates für diese Java-Generation bereit stellen. Nur zahlende Kunden werden weiterhin mit Updates unterstützt.

Apple hat mit Java für OS X 2013-001 (OS X 10.7) und Java für Mac OS X 10.6 Update 13 die Implementierung der Java-Generation 6 für sein Betriebssystem auf den neuesten Stand gebracht. Java 7 (ab Mac OS X 10.7.3) erhalten Mac-Benutzer wie alle anderen direkt von Oracle.

Oracle hat das nächste Java-Update bereits für den 16. April angekündigt. Turnusmäßig wäre es erst am 18. Juni fällig. Hintergrund könnte der Hacker-Wettbewerb Pwn2own sein, der am 6. März in Vancouver beginnt. Im Rahmen der Sicherheitskonferenz CanSecWest werden dabei nicht nur Web-Browser, sondern erstmals auch Plug-ins wie Adobe Reader, Flash Player und Java auf die Probe gestellt.