Tijdens de patchdinsdag van april hebben Google, Microsoft en Oracle bij elkaar 169 beveiligingslekken gepatcht. In het geval van Google werd Chrome 42 gelanceerd, waarmee 45 kwetsbaarheden in de browser worden verholpen. Via de lekken kon een aanvaller in het ergste geval vertrouwelijke gegevens van andere websites lezen of aanpassen. Twaalf kwetsbaarheden werden door externe onderzoekers gerapporteerd die hiervoor een beloning ontvingen. In totaal keerde Google een bedrag van 21.500 dollar uit. Updaten naar Chrome 42.0.2311.90 zal in de meeste gevallen geheel automatisch gebeuren.

Oracle

Oracle komt elk kwartaal met een patchronde, ook wel de Critical Patch Update (CPU) genaamd. In een blogposting wijst Oracle organisaties op deze naam, aangezien het softwarebedrijf berichten blijft ontvangen van organisaties die via kwetsbaarheden worden aangevallen die al via eerdere Critical Patch Updates waren verholpen. Erice Maurice van Oracle stelt dan ook dat de CPU niet voor niets het woord "critical" bevat.

Tijdens de CPU van april zijn in totaal 98 kwetsbaarheden in een groot aantal programma's opgelost, waaronder Oracle Database, Fusion Middleware, Hyperion, Enterprise Manager, E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, JDEdwards EnterpriseOne, Siebel CRM, Industry Applications, Java SE, Sun Systems Products Suite, Oracle MySQL en Oracle Support Tool. In het geval van Java werden 14 kwetsbaarheden gepatcht.

Microsoft

Microsoft kwam deze maand met 11 beveiligingsupdates voor in totaal 26 beveiligingslekken in Windows, Internet Explorer, Office, SharePoint Server en het .Net Framework. In het geval van Microsoft Security Bulletin MS15-033, voor vijf kwetsbaarheden in Microsoft Office, werd er één lek opgelost dat al voor het verschijnen van de update openbaar was gemaakt. Via de kwetsbaarheid kan een aanvaller de computer in het ergste geval volledig overnemen als de gebruiker een kwaadaardig document opent.

Naast MS15-033 zijn er drie andere bulletins die als "kritiek" zijn beoordeeld en zo snel als mogelijk moeten worden geïnstalleerd. Het gaat om MS15-032, MS15-034 en MS15-035 voor kwetsbaarheden in respectievelijk in Internet Explorer, Windows en nog eens Windows. Via de kwetsbaarheden kan een aanvaller willekeurige code op de computer uitvoeren. Via MS15-032 worden verschillende IE-lekken opgelost die tijdens de Pwn2Own-wedstrijd in maart werden gedemonstreerd.

MS15-034 is voor een kwetsbaarheid in HTTP.sys waardoor een aanvaller via het versturen van een speciaal HTTP-verzoek kwetsbare Windowscomputers kan overnemen. Het gaat dan met name om webservers die op Windows draaien. Alle updates zijn via Windows Update te downloaden en zullen in de meeste gevallen automatisch worden geïnstalleerd.

Adobe

Naast Google, Microsoft en Oracle kwam gisterenavond ook Adobe met beveiligingsupdates. Gisteren werd er al aandacht besteed aan verschillende kwetsbaarheden in Flash Player. Adobe kwam echter ook met updates voor ColdFusion en Adobe Flex, die bij elkaar twee kwetsbaarheden verhelpen, waaronder een probleem dat via cross site-scripting kon worden aangevallen.