Oracle kunngjorde i går at selskapet har kommet med en ny versjon av Java SE, som fjernet i alt 17 sårbarheter. Av disse, oppnår ni sårbarheter 10,0 poeng i CVSS Base Score, noe som er den høyeste alvorlighetsgraden. Dette innebærer at sårbarhetene relativt enkelt kan utnyttes til fjernkjøring av vilkårlig kode, uten noen form for autentisering.
Oracle understreker at sårbarhetene er gitt en så høy poengsum fordi de berører alle plattformer, og fordi mange Windows-brukere er logget inn med administrative rettigheter. Dersom Java kjøres av brukere som har begrensede privilegier, reduseres poengsummen til 7,5. Her vil Java-applikasjonen kunne kompromitteres, men ikke ned til operativsystem-laget.
De øvrige sårbarhetene som nå fjernes, er gitt en poengsum på mellom 2,6 og 7,6.
Flere av sårbarhetene kan utnyttes ved at en angripere sender spesielt komponerte data til programmeringsgrensesnittene til de sårbare komponentene. I andre tilfeller kan sårbarhetene utnyttes via Java Web Start-applikasjoner og ikke-pålitelige Java-applets. Sårbarhetene gjør det mulig for angrepskode å unnslippe Java-sandkassen som slik programvare vanligvis kjøres i, hvor de gis begrensede privilegier.
En komplett oversikt over de ulike sårbarhetene finnes her.
Utviklere bør laste ned Java SE 6 Update 26 JDK og JRE fra denne siden, men de fleste andre bør benytte denne lenken.
