Bij een grootschalige beveiligingsupdate heeft Oracle gisteren een kritiek gat in Java niet gedicht. Pas in februari 2013 staat een patch gepland.

Oracle heeft woensdag weer zijn driemaandelijkse Critical Patch Update uitgevoerd en daarbij in totaal 30 beveiligingslekken gedicht. Maar volgens het Poolse bedrijf Security Explorations is Oracle daarbij een kritiek lek vergeten. Het gaat om bijzonder gevaarlijk lek waarmee de sandbox-beveiliging wordt omzeild, meldt beveiligingsonderzoeker Adam Gowdiak van Security Exploration aan Security.nl.
Systeem volledig overnemen

Het beveiligingslek is aanwezig in Java SE-versies 5, 6 en 7. Wanneer een aanvaller er gebruik van maakt is een volledige overname van systeem mogelijk. Gowdiak, die in het verleden regelmatig Java-lekken ontdekte, heeft intussen contact gehad met Oracle over het bewuste lek.

Het bedrijf heeft hem laten weten dat het pas bij de volgende patchronde, op 19 februari 2013, met een oplossing komt. De verklaring daarvoor is dat Oracle volgens Gowdiak al bijna klaar was met het testen van de beveiligingsupdate van oktober, toen de melding van het bewuste lek binnenkwam. Volgens Oracle was het daarom te laat om nog mee te nemen.
Oracle opnieuw in de fout

Het is niet voor het eerst dat Oracle een Java-lek bewust open laat staan. Deze zomer bleek een ander kritiek gat ook al maandenlang open te staan, ondanks het feit dat Oracle op de hoogte was. Het bedrijf hult zich daarbij traditioneel in stilzwijgen en verwijst slechts door naar zijn securityblogs. In tegenstelling tot veel andere softwarebedrijven komt Oracle slechts eenmaal per kwartaal met patches.