Nemrég számoltunk be egy sérülékenységről, mely a Java 7-ben található, és ami lehetőséget ad a támadóknak, hogy fertőzött weboldalakról kártékony kódokat futtassanak az áldozat számítógépén. A hiba súlyosságát illetően megoszlanak a vélemények, de létezése mindenesetre tény, hatásait azóta is vizsgálják.

Ám tegnap kiderült, hogy az Oracle már április óta tud a hibáról, de ennek ellenére a júniusi frissítéskor nem javították, vagyis legközelebb október közepén lehet erre számítani. Habár ennek számtalan indoka lehet, az eset semmiképp nem tesz jót a cég hírnevének, hiszen a biztonsági szakmában meglehetősen rossz a reputációja az Oracle-nek: a frissítési módszerekkel sokan elégedetlenek (például másoktól eltérően erősen ódzkodnak eltérni a betáblázott évi három frissítéstől, nem szokásuk rendkívüli javítást kiadni), emellett az elégtelen vállalati kommunikáció is hozzájárult eddig ahhoz, hogy ne legyen a szakemberek szíve csücske a világ egyik legnagyobb IT-cége.

A tudósításokból kiderül, hogy egy lengyelországi központú biztonsági vállalkozás, a Security Explorations április 2-án értesítette az Oracle-t (17 egyéb hibával együtt) ugyanarról a sebezhetőségről, melyet a hétvégén a FireEye kutatói publikáltak, és amelyről azt is bebizonyították, hogy – bár igen szűk körben, de – már egy ideje ki is használnak. Adam Gowdiak, a lengyel vállalkozás vezetője egy nyilatkozatában elmondta, azt várták, hogy az Oracle júniusban kijavítja a legsúlyosabb hibákat, ám ez néhány esetben elmaradt. Ez azért is baj, mivel a kockázat az által is nő, hogy bevett módszer a támadók részéről a különböző sérülékenységek kihasználásának kombinálása céljaik megvalósítása érdekében, és ez a Java 7 mostani biztonsági rései esetében is igaz, a biztonsági szakemberek már készítettek is olyan exploitokat, melyek segítségével meg lehet kerülni a Java sandboxát.

Az Oracle egyelőre még nem nyilatkozott az ügyben.