Изследователят по компютърна безопасност Адам Говдяк (Adam Gowdiak) от компанията за информационна защита Security Explorations продължава с откриването на уязвимости в платформата на Oracle Java.Този път Говдяк
твърди, че компанията е пропуснала да провери своята платформа срещу класическа атака, която е била използвана отпреди повече от 10 години.Съобразявайки се с политиката на компанията и неформалния код на поведение в подобни случаи, Говдяк не разкрива детайли около самата уязвимост, но споменава, че тя е свързана с новата функция Reflection API, която беше представена в Java SE 7. "За самата атака се знае от повече от 10 години. Това е една от онези опасности, от които човек трябва да се предпази веднага при добавянето на нови характеристики към Java и то на най-високо VM ниво", пише Говдяк.Той твърди, че proof-of-concept кода, който е разработен от него и колегите му, за да удостоверят налчието на уязвимостта работи при повечето от последните версии на Java SE 7, Update 25 и надолу, но компанията не е разкрила все още кода, за даде възможност на Oracle да отговори на съобщението на Security Explorations. Но Годвяк си задава въпроса доколко Oracle възприемат въпросите за безопасността на платформата си сериозно, вземайки предвид факта, че въпросната дупка в сигурността не е трудна за откриване и запушване. "Но това не се е случило (изправянето на уязвимостта). Това е основание да заключим, че политиките за сигурност на Oracle и съответните процедури по безопасността на платформата или не са достатъчно надеждни или иплементирането им е далеч от от желаното", заключава полякът.Интересно е да се отбележи, че по думите на старшия софтуерен разработчик за Java Нандини Рамани, Oracle има внушителен ресурс, който обезпечава сигурността на платформата. По-рано тази година, той
писа в блога на компанията, който разглежда въпросите на безопасността Security Assurance Blog по въпроса за сигурността на платформата, като увери потребителите, че именно безопасността на Java е сред основните приоритети на Oracle.
