Java je poznata po gotovo stalnoj pojavi propusta, što napadači obilato iskorištavaju. Ove godine najviše propusta pronađeno je u Java Reflection API-u koji je postao omiljena meta za izvođenje malicioznog koda na računalu izvan Java sandboxa iako bi upravo sandbox trebao poslužit kao zaštita protiv takvih operacija.
Prema Adama Gowdiaku, CEO-u poljske tvrtke Security Explorations koja se bavi računalnom sigurnošću, pozivi prema Reflection API-u su vrlo česti pri izvođenju Jave, ali se izvode u vrlo nesigurnom okruženju što dovodi do ozbiljnih sigurnosnih problema. Gowdiak je također otkrio činjenice o postojanju propusta u najnovijoj veziji Jave brojčane oznake 7 koji se nalazi u Reflection API-u. Propust nije javno objavljen, nego je poznat samo tvrtki Oracle, vlasniku Jave.
Pri iskorištavanju propusta rabi se napad poznat još iz 2002. godine te se uspješno zaobilazi zaštita koju pruža sandbox u zadnjoj verziji Jave, 7 Update 25.
Kako se prema posljednjim istraživanjima na 90 % računala u tvrtkama nalazi verzije Jave stare barem pet godina, 82 % računala koristi staru šestu verziju Jave, dok manje od 1% računala pokreće najnovija 7U25 verziju koja također nije bez mana; Java aplikacije su i dalje velik sigurnosni problem te omiljena meta zlonamjernih napadača.
bug.hr
