Oracle heeft dinsdag tijdens de patchronde die elke drie maanden plaatsvindt voor Java 30 beveiligingsrisico’s verholpen. Toch zegt een Poolse beveiligingsonderzoeker, Adam Gowdiak, dat een hele belangrijke kwetsbaarheid gemist is. Deze kwetsbaarheid stelt kwaadwillenden in staat om uit de Java-sandbox te breken en het onderliggende besturingssysteem over te nemen.
Oracle geeft elk kwartaal een update uit voor de Java-software, hierbij worden ook beveiligingslekken gedicht. Het bedrijf geeft aan dat de update al getest werd toen berichten over het nieuwste lek binnenkwamen. Daardoor was er geen tijd meer om het lek te dichten in de update van 16 oktober jongstleden.
Het ziet er dus naar uit dat de kwetsbaarheid pas met de volgende patchronde wordt verholpen. Deze update staat gepland voor februari 2013. Gowdiak meldt: "Hoewel Oracle’s update van oktober veel ernstige kwetsbaarheden in de software verhelpt, bevat het geen fix voor een ernstig beveiligingslek dat in alle Java SE-versies, maar ook in Java 5, -6 en -7, aanwezig is".
42 minuten geleden
