Sikkerhetseksperten Marc Maiffret i eEye Digital Security er svært kritisk til Suns utgivelse av en ny sikkerhetsoppdatering til Java. I forbindelse med en beskrivelse av sårbarheten sikkerhetsoppdateringen fjerner, skriver Maiffret at Sun er et av de få selskapene som fortsatt ikke er i stand til å koordinere en samtidig utgivelse av sikkerhetsfikser.
Maiffret mener en slik glipp utsett kundene for en unødvendig risiko.
Saken er den at Sun allerede den 28, juni fjernet sikkerhetshullet fra Java Runtime Environment 5, gjennom oppdatering 12. Da ble også hullet kjent. Men en tilsvarende oppdatering til Java 6 ble først gjort tilgjengelig en uke senere, men bare i utviklerversjonen. En oppdatering til det vanlige kjøretidsmiljøet er ikke tilgjengelig, men kan trolig ventes denne uken.
- Folk har potensielt hatt mer enn en uke på seg til å lage løsninger som utnytter denne sårbarheten, før Sun omsider kom med en oppdatering til Java 6, som er dagens utgave av Java. Forhåpentligvis vil Sun i framtiden bli i stand til å hente sine sikkerhets- og utviklingsprosesser ut fra den mørke middelalderen, skriver Maiffret.
Selve sårbarheten, som opprinnelig ble oppdaget av eEye Digital Security, skyldes en overflytsfeil i en buffer i Windows-utgaven av Java WebStart. Ved å åpne en ondsinnet JNLP-fil, kan en brukers system bli kompromittert av vilkårlig kode som finnes inne i filen. Denne vil kjøres med de samme privilegiene som brukeren har.
Et webbasert angrep ledet gjennom Internet Explorer kan ifølge eEye lykkes uten bruk av ActiveX, skripting eller noen form for brukerinteraksjon utover det å vise en webside. Dette betinger dog at webservere indikerer at Content-Type for filen er satt til "application/x-java-jnlp-file" når filen leveres. Det er da ikke nødvendig at filen har filnavnendelsen ".jnlp".
Brukere av Java 6 som ønsker å installere oppdateringen til kjøretidsmiljøet allerede nå - noe eEye anbefaler alle å gjøre, kan laste ned en utviklerutgave av programmet fra denne siden. Den allerede installerte utgaven av Java Runtime Environment kan med fordel avinstalleres før den nye installeres.
