Javítást adott ki az Oracle az 0day Java 7 sebezhetőségre

Címkék

Az Oracle Java frissítést adott ki, amelyben a hírek szerint javította azt az 0day sebezhetőséget, amelyről korábban már beszámoltunk. Az Oracle a Java 7 Update 7 mellett kiadta a Java 6 Update 35-öt is. A Krebs on Security blog megjegyzi, hogy ugyan úgy tűnhet, mintha az Oracle gyorsan reagált volna a súlyos biztonsági problémára, a valóság ezzel szemben az, hogy Security Explorations lengyel biztonsági cég állítja, hónapokkal ezelőtt jelezte az Oracle-nek a hibát 30 másik társaságában. Adam Gowdiak, a lengyel cég vezérigazgatója elmondta, hogy arra számítottak, hogy az Oracle a júniusi Java CPU-ban javítja majd a legsúlyosabb hibát, de erre akkor nem került sor. A blog szerint még nem világos, hogy a most kiadott javítás az áprilisban bejelentett hibák közül melyeket javítja még. Azok a felhasználók, akiknek a frissítés nem érkezik automatikusan (pl. Linux, Mac) letölthetik a frissítést innen.

Hozzászólások

"hónapokkal ezelőtt jelezte az Oracle-nek a hibát"

Ha eddig nem volt sürgős akkor már igazán megvárhatták volna az októbert. Lehet hogy olvasták a HUP fórumot és elszégyellték magukat 8-)

Ami a nagyobb probléma, hogy ugyan tudtak a hibáról, de mégsem adtak ki róla - akár előzetes - figyelmeztetőt. Az semmibe se kerül, hogy:

"Gyerekek, szar van a palacsintában. Javítás majd októberben, de addig is figyeljetek, meg tiltsatok le ezt-azt."

Ez sem szép, de korrektebb a hallgatásnál. Ennél a Microsoft sokkal korrektebbül jár el.

--
trey @ gépház