OpenOffice.org, het gratis alternatief voor Microsoft Office, installeert een oude en onveilige versie van Java, ook al is er geruime tijd een nieuwere versie beschikbaar. Tijdens de standaard installatie van OpenOffice.org 3.0.1 wordt ook Java 6 Update 7 op het systeem geïnstalleerd, die vorig jaar juli verscheen. Niet alleen is dit een versie met tal van beveiligingslekken, het mist ook de "secure static versioning" feature die ontwikkelaar Sun later toevoegde. Deze functie zorgt ervoor dat websites geen oudere Java versie aanwezig op het systeem kunnen aanroepen, waar bijvoorbeeld een lek in aanwezig is. Voorheen was het mogelijk voor een aanvaller een oudere Java versie te gebruiken, ook al had de gebruiker de meest recente geïnstalleerd.
Om het probleem van oude Java versies verder op te lossen, worden die sinds Update 11 automatisch bij de installatie van een nieuwe versie verwijderd. Waarom OpenOffice.org nog steeds Java 6 Update 7 gebruikt is onbekend. De nieuwe versies werken namelijk prima met de kantoorsoftware.
Deze posting is gelocked. Reageren is niet meer mogelijk.