Szczegółowe informacje o problemie, wraz z prototypowym kodem, potwierdzającym istnienie luki, zostały już w piątek przekazane przedstawicielom Oracle - poinformował Adam Gowdiak, założyciel i szef Security Explorations. Zastrzegł równocześnie, że dopóki błąd nie zostanie załatany, dopóty jego firma nie udostępni szczegółowego opisu problemu.

Warto dodać, że poprawka, w której znaleziono błąd, została udostępniona "awaryjnie", poza standardowym, kwartalnym cyklem łatania Javy - była to reakcja Oracle'a na doniesienia o nowym błędzie zero-day, który zaczął być wykorzystywany przez przestępców do atakowania internautów. Aktualizacja usuwała w sumie trzy błędy - oprócz wspomnianego powyżej był wśród nich również problem scharakteryzowany przez Oracle jako poważne zagrożenie bezpieczeństwa, którego jednak nie można bezpośrednio wykorzystać do atakowania użytkowników. I to właśnie poprawka usuwająca ten problem okazała się wadliwa - co prawda usunęła jedno zagrożenie, ale przy okazji wygenerowała zupełnie nowe.

Zobacz również:

• Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations

Adam Gowdiak poinformował przy okazji, że Security Explorations już w kwietniu br. zgłosili do Oracle 29 różnych luk w Javie - wśród nich znajdowały się również te dwa błędy, które koncern musiał awaryjnie łatać w ubiegłym tygodniu. Przedstawiciel polskiej firmy dodał również, że tymczasowym zabezpieczeniem przed atakiem może być usunięcie z implementacji klasy sun.awt.SunToolkit w Java 7 Update 7 metod getField oraz getMethod - przy czym pamiętać należy, że ta operacja nie usuwa błędów, a jedynie dezaktywuje podatny na atak moduł.

"Gdy stwierdziliśmy, że znaleziona przez nas metoda obejścia zastosowanego w Javie sandboksa została zablokowana przez czwartkową poprawkę, zaczęliśmy szukać nowej metody ominięcia zabezpieczeń. Pojawił się pewien pomysł... który po zweryfikowaniu okazał się skuteczny" - tłumaczy Adam Gowdiak.

Na razie nie wiadomo, czy i kiedy Oracle zamierza rozwiązać ten problem - firma nie komentuje doniesień o nowej luce w Javie. Dlatego też szef Security Explorations sugeruje użytkownikom, którym Java nie jest niezbędna do codziennej pracy, by po prostu odinstalowali to oprogramowanie z systemu (tym bardziej, że luki w Javie od lat są ulubionym celem cyberprzestępców).