Computerworld News Service: En uge efter en kritisk sårbarhed blev offentliggjort, har Oracle nu rettet en fejl i sin virtuelle maskine i Java, der kunne udnyttes til at snige malware ind på din computer.
I sidste uge oplyste sikkerhedsleverandøren AVG Technologies at have iagttaget denne fejl blive udnyttet i et reelt angreb.
Oracle udgav opdateringen til Java SE 6 version 20 torsdag morgen. Denne opdatering retter tre sikkerhedsfejl i Java heriblandt den sårbarhed, der blev udnyttet i AVG Technologies' angreb, som blev offentliggjort i sidste uge af Google-analytiker Tavis Ormandy.
Sårbarheden rammer Windows-udgaven af Java 6 version 10 eller senere, oplyser Ormandy i en [url=http://seclists.org/fulldisclosure/2010/Apr/119]fuld beskrivelse af problemet[url], der i sidste uge blev offentliggjort på et sikkerhedsforum.
Her fortæller han, at Oracles Java-team i første omgang havde spist ham af med, at sårbarheden ikke var alvorlig nok til at fordre en hasteopdatering - den næste sikkerhedsopdatering af Java er planlagt til juli - men Oracle har tilsyneladende ændret mening, efter hackere faktisk er begyndt at udnytte sårbarheden.
En talskvinde fra Oracle svarede ikke umiddelbart på en henvendelse torsdag om at kommentere på sagen.
Sårbarheden, der blev offentliggjort af Ormandy, ligger i, hvordan Javas Web Start-komponent lader brugerne køre applikationer fra en url. En hacker kan anmode den virtuelle maskine om at installere et Java-bibliotek med skadelig kode, som derefter kan bruges til at køre malware fra computeren.
Tidligere på ugen rapporterede AVG Technologies om, at websitet Songlyrics.com var blevet hacket og omdirigerede dets besøgende til en russisk server, der udførte præcist et sådant angreb.
Oversat af Thomas Bøndergaard
