Tavis Ormandy, specjalista ds. bezpiecze�stwa opublikowa� raport na temat powa�nego b��du wyst�puj�cego w wirtualnej maszynie Java (JVM). Odpowiednio wykorzystana luka mo�e zosta� u�yta do uruchomienia w systemie z�o�liwego kodu i przej�cia kontroli nad maszyn�.

Decyzja o opublikowaniu szczeg�owych informacji na temat problemu mo�e wydawa� si� nierozs�dna - ale Ormandy t�umaczy, �e wcze�niej poinformowa� o problemie pracownik�w Oracle - a ci powiedzieli, �e na razie poprawki nie b�dzie. "Ludzie z Oracle stwierdzili, �e ta luka nie jest na tyle powa�na, by z jej powodu mieli narusza� sw�j sztywny terminarz �atania. Moim zdaniem nie maj� racji" - komentuje Tavis Ormandy.

Z informacji udost�pnionych przez Ormandy'ego wynika, �e luka pozwala nieautoryzowany dost�p i uruchomienie wszystkich aplikacji napisanych w Javie. Jest to mo�liwe, poniewa� JVM pozwala programistom tworz�cym aplikacje w tym �rodowisku automatyczne instalowanie dodatkowych bibliotek Java - mo�na wi�c stworzy� "z�o�liw�" bibliotek� i bez problem�w uruchomi� j� w systemie.

Tavis Ormandy podkre�la, �e b��du nie mo�na bagatelizowa� i nale�y go jak najszybciej naprawi�.

Problem jest na tyle powa�ny, poniewa� znaleziona luka to nie jest tylko dziura w zabezpieczeniach. To prawdopodobnie b��d projektowy pope�niony przez Java Virtual Machine. Oznacza to, �e usuni�cie problemu b�dzie znacznie trudniejsze.

Warto nadmieni�, �e problem dotyczy Javy dla Windows od wydania Java SE 6 u. 10. Ale specjali�ci nie wykluczaj�, �e podatne mog� by� r�wnie� wydania na inne platformy.