Oracle heeft gisteren een belangrijke update voor Java uitgebracht die in totaal 30 beveiligingslekken verhelpt, maar een ernstige kwetsbaarheid wordt pas in februari 2013 gepatcht. Dat zegt de Poolse beveiligingsonderzoeker Adam Gowdiak van het bedrijf Security Explorations tegenover Security.nl. De update van Oracle verhelpt wel 19 beveiligingslekken die Security Explorations eerder aan Oracle rapporteerde.
Via deze kwetsbaarheden kan een aanvaller uit de Java-sandbox breken om het onderliggende systeem over te nemen. Het gaat hier onder andere om de kwetsbaarheid die in een noodpatch voor een ander ernstig Java-lek werd ontdekt.
Februari
"Hoewel Oracle's update van oktober veel ernstige kwetsbaarheden in de software verhelpt, bevat het geen fix voor een ernstig beveiligingslek dat in alle Java SE versies, 5, 6 en 7, aanwezig is", aldus Gowdiak. Oracle liet de onderzoeker weten dat het van plan is om het lek tijdens de patchdinsdag van februari te dichten. In tegenstelling tot Microsoft dat elke maand met updates komt, brengt Oracle elk kwartaal updates uit.
In een verklaring waarom een update voor het ernstige Java-probleem is uitgesteld, stelt Oracle dat het bijna klaar was met het testen van de update van oktober, toen de melding over het nieuwe ernstig lek binnenkwam. Daardoor was het te laat om de update in de patchronde van oktober mee te nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.