Je to jen pár dní po nedávné opravě v JRE a prostředí Javy už je oficiálně zase děravé. Chyba opět umožňuje útočníkovi ovládnout PC.
Nová chyba byla objevena jen několik hodin po té, co vyšel update Java Runtime Environment (JRE 7 Update 7) od Oracle, upozornila na ni polská společnost Security Explorations. Podobně jak v hlavní zranitelnosti předchozího JRE se jedná o chybu, která umožňuje spustit přes nepodepsaný applet binární kód bez povolení od uživatele. Jeden rozdíl tu ale je, oproti předchozí chybě nebyly zatím její detaily zveřejněné a není zatím známo žádné její reálné zneužití v aktuálně zachycených exploitech.
Společnost Oracle opravila starší zranitelnost minulý čtvrtek, tedy relativně pozdě, v době, kdy již chyba byla několik měsíců zneužívána, v daném případě má ještě šanci zareagovat včas.
Na starší, dnes již opravenou chybu, upozornila společnost FireEye, která odhalila její zneužívání skrze objevení exploitů, které ji využívají při cílených útocích. Konkurenční společnost, Errata Security, potvrdila, že se jedná o chybu v návrhu JRE, která umožňuje kódu změnit si vlastní bezpečnostní oprávnění pomocí tzv. „Java reflection“.
Chyba byla plně zneužitelná na následujících konfiguracích: Windows 7 SP1, Ubuntu 12.04, Mac OS X 10.8.1, z prohlížečů jsou zranitelné Firefox 14.0.1, IE 9, Safari 6 a Chrome 21. Kvůli chybě může exploit formou appletu zneužít možnosti spustit zvolený kód a získat kontrolu nad PC.