Gowdiak poinformował Oracle o krytycznej luce pod koniec września. Luka umożliwia atakującemu wykorzystanie spreparowanego apletu do uzyskania dostępu do zasobów w systemie z uprawnieniami użytkownika. Niestety, było już za późno, aby włączyć poprawkę do październikowego wydania poprawek Oracle. Firma poinformowała badacza, że jest już w końcowej fazie testowania swoich październikowych łatek i że wszelkie poprawki muszę być przełożone do czasu następnej aktualizacji krytycznych łatek (CPU), który zaplanowano na 19 lutego 2013.
Gowdiak wyliczył także zakres pracy potrzebnej do załatania luki. Okazało się, że poprawka wymaga zmiany zaledwie 25 znaków kodu. Cała operacja miała zająć 30 minut!
Być może Oracle nie śpieszy się z poprawką, ponieważ szczegóły luki nie zostały jeszcze upublicznione. Niestety, w sierpniu podobna sytuacja zakończyła się wykorzystaniem luki w oprogramowaniu. Cyberprzestępcy zdołali wykorzystać luki w Javie, mimo że zostały wykryte i zgłoszane do Oracle przez Gowdiaka kilka miesięcy wcześniej. Komu bardziej zależy na bezpieczeństwie użytkowników?
Źródło: H-Online