Tízéves biztonsági rést foltozott be az Oracle

Az Oracle negyedévente szokta közzétenni a különböző alkalmazásaihoz készített frissítéseit, azonban most egy soron kívüli hibajavításra kényszerült. Ennek az az oka, hogy a Java kapcsán egy súlyos sérülékenység egyre intenzívebb kihasználására került sor, ami miatt a cég nem tudott tovább várni a frissítéssel. Az Oracle legutóbb januárban adott ki patch-eket, amikor több mint 60 sérülékenységet szüntetett meg a különféle szoftvereiben.

"A Java Runtime Environment (JRE) a "2.2250738585072012e-308" érték lebegőpontos számmá történő konvertálásakor lefagyhat. A hiba a Java SE és a Java for Business termékeket is érinti" - olvasható az Oracle közleményében. A cég hozzátette, hogy a támadóknak a sebezhetőség kihasználásával hálózati támadásokra nyílhat lehetőségük. Ezek során - akár anélkül, hogy hitelesítenék magukat a hálózaton - olyan műveleteket hajthatnak végre, amelyek révén a JRE rendszeresen összeomolhat, vagy teljesen lefagyhat. Az Oracle szerint a hiba miatt a Java alapú alkalmazások és a webszerverek különösen kiszolgáltatottak.

10 éves sebezhetőség

Egyes internetes fórumokon a téma iránt érdeklődök egy érdekes tényre hívták fel a figyelmet. Az Oracle által most befoltozott biztonsági rés ugyanis a legutóbbi információk szerint már 2001 márciusában ismertté vált. Aztán 2009 novemberében újra szóba került, azonban a Sun valamilyen rejtélyes oknál fogva az elmúlt évek során nem adott ki javítást a súlyos rendellenességre. Sajnos egyelőre - karbantartás miatt - nem elérhető az a weboldal, amelyen az eredeti, 2001-es hibabejelentés lenne olvasható.

Átalakuló Oracle frissítések

Amichai Shulman, az Imperva műszaki igazgatója úgy véli, hogy az Oracle frissítési szokásai meg fognak változni. Régebben ugyanis a cég kevesebb termékkel rendelkezett, és egyidejűleg rengeteg hibajavítást adott ki. Napjainkban azonban a sokkal több alkalmazása miatt gyakoribb, ugyanakkor esetenként kevesebb problémát megszüntető frissítésekre van szükség.