Java 7: kolejna luka wykryta przez polską firmę Security Explorations

Polska firma Security Explorations zidentyfikował nową lukę w najnowszej wersji Javy. Dla przypomnienia, firma Oracle kilka dni temu wydała Critical Patch Update.

Niespełna tydzień temu firma Oracle opublikowała zawierający krytyczne poprawki Critical Patch Update. Specjaliści z polskiej firmy Security Explorations nie dają jej jednak wytknąć i opublikowali raport, w którym omawiają wykrytą przez nich nową lukę związaną z Reflection API i nękającą wszystkie warianty Javy 7, w tym ostatnią aktualizację 21.

"Luka może być wykorzystana do pełnego obejścia zabezpieczeń "piaskownicy" w atakowanym systemie. Skuteczne jej wykorzystanie w przeglądarce wymaga prawidłowej reakcji użytkownika, który musi w wyświetlonym oknie z ostrzeżeniem zaakceptować ryzyko uruchomienia potencjalnie szkodliwej aplikacji Java" - tłumaczy Adam Gowdiak, szef firmy Security Explorations.

Dodaje jednocześnie, że rok temu sygnalizował Oracle wiele problemów związanych z Javą SE 7, a w szczególności Reflection API. Dużym zaskoczeniem było więc dla niego, że po takim okresie czasu był jeszcze w stanie odkryć "jedną z najprostszych a jednocześnie bardzo groźnych luk bazujących na Java Reflection API".

Raport trafił już do firmy Oracle. Wykryta luka nie została jeszcze przez nią potwierdzona, co jednak zdaniem Gowdiaka powinno wkrótce nastąpić.