Een eind vorige maand ontdekt beveiligingsprobleem in Java, wordt pas in februari gepatcht. De bug zou te laat zijn gekomen voor Oracles driemaandelijkse patchronde. De kwetsbaarheid maakt het omzeilen van de sandbox mogelijk.
De vinder van het lek, de Poolse beveiligingsonderzoeker Adam Gowdiak, zegt tegenover Security.nl dat de kwetsbaarheid die hij ontdekte niet is meegenomen met een grote patch die dinsdag is uitgebracht. Daarin worden dertig kwetsbaarheden verholpen, maar niet die van Gowdiak.
Volgens de beveiligingsonderzoeker heeft Oracle hem gezegd dat de patch tijdens de eerstvolgende patchronde, in februari 2013, zal worden opgelost. Volgens Oracle kwam de melding van de kwetsbaarheid te laat binnen om deze mee te kunnen nemen tijdens de patchronde van deze maand.
De kwetsbaarheid die Gowdiak ontdekte, maakt het mogelijk om de sandbox te omzeilen en eigen code uit te voeren. Volgens de beveiligingsonderzoeker zijn een miljard Java-gebruikers kwetsbaar, omdat zowel de Java SE-versies 5, 6 als 7 kwetsbaar zijn.