Oracle تطلق تحديثا لسد ثغرة في Java يفتح الباب لثغرة أخرى

نُشر يوم 3 سبتمبر 2012 بواسطة يوغرطة بن علي (Youghourta Benali)

نشرت Oracle نهاية الأسبوع المنصرم تحديثا لـ Java يهدف إلى سد ثغرة تمكن من نشر برامج ضارة على الأجهزة التي تستخدم الإصدار 7 من Java. الكل سارع إلى تهنئة Oracle على سرعة استجابتها للثغرة وسدها لها، إلا أن الترقيع الذي نشرته يفتح الباب أمام ثغرة أخرى لا تقل خطورة عنها.

بداية وبالرغم مما قيل حول سرعة استجابة Oracle وأنه أمر تُشكر عليه، أشارت بعض المصادر بأن الشركة كانت على علم بالثغرة منذ شهر أبريل الماضي، حيث أبلغتها شركة Security Explorations البولندية بها حينئذ، لكن Oracle لم تقم بترقيعها إلا بعد أن تم استغلالها على نطاق واسع، وبعد أن انتشرت الأخبار حول الأمر، حيث أن Oracle دأبت على نشر تحديثاتها الأمنية بشكل دوري في أوقات معروفة (كل أربعة أشهر)، وكان موعد التحديث القادم مبرمجا لشهر أكتوبر.

بعد نشر الترقيع –والذي كما سبق ذكره لا يخص سوى الإصدار 7 من Java- أكد Adam Gowdiak بأنه منيع ضد الهجمات التي كانت تستغل الثغرة المعنية بالأمر، إلا أنه فتح الباب لاستغلال ثغرة أخرى جديدة تسمح للمخترق لدى استغلالها بجانب ثغرة تم اكتشافها سابقا بتجاوز Sandbox الخاص بالآلة الافتراضية بـ Java.

يُشير Gowdiak بأنه تم إبلاغ Oracle بالأمر، كما أنهم أرسلوا إليها proof of concept جديد لاستغلال الثغرة، وسيتم نشر تفاصيل الثغرة بعد أن تؤكدها Oracle وتنشر ترقيعاً لها.