Luka pojawiła się ponownie API Reflection i umożliwia napastnikowi całkowite ominięcie piaskownicy języka i uzyskanie dostępu do systemu. Gowdiak nie opublikował żadnych dalszych szczegółów na temat tej luki, aby dać czas Oracle na likwidację problemu. Oznacza to, że obecnie aż trzy luki wykryte przez Gowdiaka w dalszym ciągu wymagają poprawek: chodzi o problemy 54, 56 i 61 – sklasyfikowane według numeracji Polaka.
Mówi Adam Gowdiak – Luka może być wykorzystana do pełnego obejścia zabezpieczeń „piaskownicy” w atakowanym systemie. Skuteczne jej wykorzystanie w przeglądarce wymaga prawidłowej reakcji użytkownika, który musi w wyświetlonym oknie z ostrzeżeniem zaakceptować ryzyko uruchomienia potencjalnie szkodliwej aplikacji Java. – Co ciekawe, wersja JRE 7 przeznaczona dla serwerów, także jest podatna na ataki.
Firma Oracle otrzymała już powiadomienie od Gowdiaka. Oficjalne potwierdzenie luki to zdaniem polskiego badacza tylko kwestia czasu.
Źródło: H-Online, PCWorld