En designmässig bugg i java virtual maskine (jvm) har avslöjats av Googles säkerhetsforskare Tavis Ormandy, som uppger att han meddelat Oralces Sun-utvecklare om detta tidigare. ”De informerade mig om att de inte anser sårbarheten vara tillräckligt högt prioriterad för att föranleda ett undantag till den kvartalsvisa uppdateringscykeln”, skriver Ormanday. ”Jag höll inte med”.
Oracle har avböjt att kommentera saken. Företaget släppte nyligen en större java-uppdatering. Nästa uppdatering är planerad att släppas i juli månad.
Sårbarheten kan ge hackare möjlighet att köra oauktoriserade javaprogram på attackerade datorer. Detta är genomförbart eftersom java låter utvecklare säga åt jvm att installera alternativa java-bibliotek. Genom att skapa ett sådant bibliotek och sedan instruera jvm att installera den, kan en angripare se till att skadlig kod körs på offrets dator, menar Ormanday.
Marc Maiffret, säkerhetschef på Fireeye, är kritisk till Oracles hållning. Det är ett misstag att inte patcha denna bugg, säger han till IDG News.
Buggen är särskilt lömsk eftersom den beror på en designmiss, snarare än den typ av programmeringsfel som vanligen leder till angrepp via buffer-overflow. ”Det är en söt bugg”, säger Maiffret.
Buggen påverkar ”alla versioner från och med java se 6 update 10 för Microsoft Windows”, uppger Ormandy. Linux-användare kan möjligen också vara berörda, kommenterar it-säkerhetsföretaget Symantec i en notis.
