למרות התיקון: שתי פרצות חדשות התגלו בעדכון האחרון לג'אווה

פחות משבוע לאחר ששחררה אורקל (Oracle) את עדכון 11 לגרסה 7 של ג'אווה (Java), שאמור היה לתקן שתי פרצות שכבר נוצלו בפועל לביצוע מתקפות, מדווח אדם גודיאק – האקר ידוע שמתמחה באיתור פרצות בג'אווה מחברת Security Explorations מפולין, על שתי פרצות חדשות בגרסה הסטנדרטית של התוכנה.

"הצלחנו להוכיח שעדיין ניתן לעקוף עקיפה מלאה את ארגז החול ב-(Java 7 Update 11 (JRE version 1.7.0_11-b21", כתב גודיאק בהודעה ששלח לרשימת הדיוור Full Disclosure. פרצות אלה עלולות לאפשר לתוקפים ליצור קוד זדוני ולפגוע במערכת שבה פועלת התוכנה. על פי גודיאק, אלו הפרצות ה-51 וה-52 במספר בגרסה 7 של ג'אווה, שעליהן דיווחה Security Explorations לאורקל מאז ה-2 באפריל 2012.

"מאורקל נמסר לנו, כי הפרצות ייבדקו על סמך הנתונים שסיפקנו, והם הבטיחו לעדכן אותנו בהקדם", כתב גודיאק בהודעתו. בהתאם למדיניותה, נמנעת Security Explorations מלספק פרטים נוספים על הפרצות עד שתשלים אורקל את תיקונן.

"מבחינת חומרת הפרצות, גודיאק רומז כי המצב דומה למי שנועל את דלת המשרד (באמצעות עדכון 11 לג'אווה 7) אך משאיר את הכניסה הראשית לבניין פתוחה – דבר שיש בו משום הזמנה לחפש כניסה אחרת למשרד", כתב פול דקלין, מנהל טכנולוגיה באזור מזרח אסיה בחברת האבטחה סופוס (Sophos), בהודעה שפרסם בבלוג.

יצוין כי לא מכבר הוצעו למכירה פרטים על פרצה נוספת בג'אווה, שלא הוטלאה עדיין על ידי אורקל, בפורום של פשיעה מקוונת. אולם, גודיאק סבור דווקא, כי "בניגוד למה שמקובל לחשוב, לא קל כל כך לפרוץ את ג'אווה. בדרך כלל, כדי לעקוף את ארגז החול עקיפה מלאה ואמינה, צריך לשלב בין מספר פרצות".

ואילו דקלין מחברת סופוס מוסיף מצידו, כי בתקופה האחרונה פועלים באורקל בצורה נמרצת יותר כדי להטליא את ג'אווה.