Java nie cieszy się dobrą opinią wśród specjalistów od bezpieczeństwa komputerów. Właśnie został odkryty kolejny 0-day, który jest już zresztą wykorzystywany. Zdaniem ekspertów, jedynym ratunkiem jest wyłączenie wtyczek Oracle'a.
Lukę udokumentował US Computer Emergency Readiness Team, który podlega Departamentowi Bezpieczeństwa Krajowego USA, a odkrył ją prawdopodobnie blogger Kafeine. Znajduje się ona w Javie 7 Update 10 i starszych i pozwala atakującemu na zdalne wykonanie złośliwego kodu, jeśli tylko przekona użytkownika do odwiedzenia spreparowanej strony internetowej, co trudne raczej nie jest.
Uznany specjalista, Brian Krebs, potwierdził, że stosowny exploit już znalazł się w zestawie narzędzi do dystrybucji złośliwych programów BlackHole Exploit Kit. Podobno był to prezent noworoczny dla klientów korzystających z tego pakietu, a niedługo potem takie samo ogłoszenie wystosował sprzedawca Nuclear Pack. Firma BitDefender z kolei poinformowała o obecności exploita w konkurencyjnym Cool Exploit Kit.
Lukę przeanalizowali pracownicy AlienVault, którym udało się odtworzyć działanie exploita i uruchomić złośliwym appletem program calc.exe. Z tego wywnioskowali, że exploit obchodzi niektóre zabezpieczenia i uzyskuje dostęp do pewnych klas Javy, podobnie jak inny exploit z sierpnia.
Według firmy Rapid7 również użytkownicy Linuksa i OS X nie mogą czuć się bezpieczni. Firma Oracle została poinformowana o problemie, ale na razie wszyscy polecają po prostu, bez względu na używany system operacyjny i przeglądarkę, wyłączenie wtyczki, jeśli nie jest ona niezbędna. W najgorszej sytuacji są, jak zwykle, środowiska firmowe, gdzie często wykorzystywane są aplikacje napisane w Javie specjalnie na ich potrzeby. Naraziło to Oracle'a na krytykę ze strony Marca Maifretta z BeyondTrust. Uważa on, że firma zwyczajnie musi się bardziej postarać żeby zabezpieczyć Javę i w końcu się pozbierać.
