Najnowszy błąd w Javie został opisany w Full Disclosure). Odkryta luka zero-day pozwala na nieautoryzowane zainstalowanie w systemie, w którym zainstalowana jest Java, dodatkowego oprogramowania (np. trojana).

Na atak podatne są zarówno komputery pracujące pod kontrolą Windows, jak i Mac OS X - wystarczy, że użytkownik zainstalował Javę 5,6 oraz 7 (w przypadku Mac OS X 10.6 i wcześniejszych użytkownik nie musi instalować Javy, ponieważ jest ona dołączona do systemu).

Zobacz również:

• Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców
• Luka w zabezpieczeniach WordPress
• Apple łata poważne luki - warto zaktualizować swój sprzęt

Warto zaznaczyć, że niedawno ujawniono inny poważny błąd w Javie - stanowił on jednak mniejsza zagrożenie, ponieważ występował wyłącznie w wersji 7 (5 i 6 nie były podatne na atak). Tym razem jest dużo gorzej, bo problem dotyczy wszystkich aktualnych wersji Javy.

Zdaniem Adama Gowdiaka - założyciela i szefa firmy Security Explorations, który znalazł wspomniany błąd, na atak podatnych jest ok. miliarda komputerów z całego świata. Jedynym pocieszeniem jest fakt, iż - w przeciwieństwie do poprzedniej luki - o nowym błędzie nie wiedzą jeszcze przestępcy, więc nie jest on wykorzystywany do atakowania użytkowników.

Istnienie błędu potwierdził już koncern Oracle - niewykluczone więc, że firmie uda się przygotować poprawkę przed 16 października (na ten dzień zaplanowano udostępnienie kolejnego pakietu aktualizacji dla Javy). "Udostępniliśmy publicznie informacje o błędzie [bez podawania szczegółów technicznych - red.], aby użytkownicy dowiedzieli się o problemie i mogli ewentualnie zaplanować jakieś działania zapobiegawcze" - tłumaczy Gowdiak.

Z testów przeprowadzonych przez specjalistę wynika, że przygotowany przez niego prototypowy eksploit działa poprawnie w przypadku wtyczek Java zainstalowanych w aktualnych wersjach przeglądarek Google Chrome, Mozilla Firefox, MS Internet Explorer 9, Opera oraz Apple Safari, w systemie Windows 7.

Dodajmy, że nie jest to pierwsza luka w Javie wykryta przez Gowdiaka - tylko w tym roku zgłosił on Oracle’owi kilkanaście innych problemów z tym oprogramowaniem (w ciągu ostatnich 5 lat odkrył ok. 50 błędów).