Er is een nieuw beveiligingslek in Java 7 ontdekt waardoor cybercriminelen uit de sandbox-beveiliging kunnen ontsnappen om het onderliggende systeem aan te vallen. Opmerkelijk aan het lek is dat de aanval al meer dan 10 jaar bekend is, aldus het Poolse beveiligingsbedrijf Security Explorations dat de kwetsbaarheid aan Oracle rapporteerde.

Het lek wordt door het bedrijf als "Issue 69" bestempeld. Daarbij hekelen de Poolse onderzoekers de houding van Oracle. In een recente blogposting liet de databasegigant weten dat de veiligheid van Java de hoogste prioriteit had.

Procedures
"Als Oracle enige software security controleprocedures voor Java had gebruikt, zouden de meeste API-kwetsbaarheden alsmede deze tien jaar oude aanval al voor het verschijnen van Java 7 zijn opgelost", stelt onderzoeker Adam Gowdiak op de Full-Disclosure mailinglist.

Aangezien de problemen er nog altijd zijn, betekent dit volgens Gowdiak dat de security policies en procedures van Oracle niets voorstellen, of dat de implementatie te wensen overlaat. En dat is iets wat de aandacht van Oracle-klanten moet trekken gaat de onderzoeker verder.

Hij veronderstelt dat dezelfde gebrekkige procedures zeer waarschijnlijk ook voor andere Oracle-producten worden gebruikt.