Tavis Ormandy, specjalista ds. bezpieczeństwa opublikował raport na temat poważnego błędu występującego w wirtualnej maszynie Java (JVM). Odpowiednio wykorzystana luka może zostać użyta do uruchomienia w systemie złośliwego kodu i przejęcia kontroli nad maszyną.

Decyzja o opublikowaniu szczegółowych informacji na temat problemu może wydawać się nierozsądna - ale Ormandy tłumaczy, że wcześniej poinformował o problemie pracowników Oracle - a ci powiedzieli, że na razie poprawki nie będzie. "Ludzie z Oracle stwierdzili, że ta luka nie jest na tyle poważna, by z jej powodu mieli naruszać swój sztywny terminarz łatania. Moim zdaniem nie mają racji" - komentuje Tavis Ormandy.

Z informacji udostępnionych przez Ormandy'ego wynika, że luka pozwala nieautoryzowany dostęp i uruchomienie wszystkich aplikacji napisanych w Javie. Jest to możliwe, ponieważ JVM pozwala programistom tworzącym aplikacje w tym środowisku automatyczne instalowanie dodatkowych bibliotek Java - można więc stworzyć "złośliwą" bibliotekę i bez problemów uruchomić ją w systemie.

Tavis Ormandy podkreśla, że błędu nie można bagatelizować i należy go jak najszybciej naprawić.

Problem jest na tyle poważny, ponieważ znaleziona luka to nie jest tylko dziura w zabezpieczeniach. To prawdopodobnie błąd projektowy popełniony przez Java Virtual Machine. Oznacza to, że usunięcie problemu będzie znacznie trudniejsze.

Warto nadmienić, że problem dotyczy Javy dla Windows od wydania Java SE 6 u. 10. Ale specjaliści nie wykluczają, że podatne mogą być również wydania na inne platformy.