I mitten på januari gick Oracle ut med en uppdatering som skulle täppa till de värsta säkerhetshålen i Java. Redan då varnade flera analytiker om att åtgärden knappast räckte till och nu har säkerhetsexperter på Security Explorations gått ut med flera besvärande detaljer.
Företagets vd Adam Gowdiak säger att det fortfarande är fritt fram för hackare att utnyttja samma ingångar via webbläsare som det tidigare rapporterats om. Med den senaste Javauppdateringen går det att välja fyra säkerhetsnivåer där den hårdaste ska kunna blockera all trafik från applets som inte har ett godkänt certifikat.
– Oavsett vilken säkerhetsnivå man väljer, hög eller väldigt hög, i kontrollpanelen för Java går det att komma runt detta, säger Adam Gowdiak som testat detta på ett system som uppdaterats med Java 7 Update 11.
Det handlar om den uppdatering som Oracle skickade ut senast och där man får en förinställning med den högsta säkerhetsnivån.
– Vi blev verkligen överraskade över hur lätt det var att komma runt denna nya säkerhetsinställning, säger Adam Gowdiak till CS systertidning Computerworld.
Security Explorations har informerat Oracle om den nya problematiken, något man gjorde ungefär samtidigt som Oracles säkerhetschef Milton Smith gick ut och lovade att man skulle ta itu med säkerhetsproblemen.
