Kašle Oracle na zákazníky? Nechá Javu ještě 4 měsíce děravou, přestože oprava již existuje?
Koncem září byla objevena poměrně nepříjemná díra v Javě. Kdyby se někdo rozhodl jí využít k účelům nekalým, mohl by skrze ni infikovat zhruba 1,1 miliardy desktopů, které tuto Oraclovu platformu používají. Díra se týká všech posledních verzí Java SE a umožňuje útočníkovi získat plnou kontrolu nad počítačem, který navštíví „vhodně infikovanou“ stránku. Exploit objevený Adamem Gowdiakem a jeho kolegy z polské bezpečnostní firmy Security Explorations totiž umí vyskočit ven z bezpečnostního sandboxu používaného v Java SE 7, díra se pak týká i verzí Java 5 a 6. Adam potvrdil, že otestovali tento exploit proti stroji s plně opatchovanými Windows 7 s prohlížeči Firefox 15.0.1, Chrome 21, IE 9, Opera 12 a Safari 5.1.7. Adam celý jejich objev nahlásil Oraclu 25. září včetně toho, že firmě poslal ukázkový kód, který exploit provádí.
Průšvih je to poměrně značný a tak se není čemu divit, že se snahy o jeho zalátání chopili právě tito lidé mimo Oracle. Na vytvoření patche, který chybu opravuje, přitom stačilo „neuvěřitelných“ 30 minut času. Ten byl pak zaslán Oraclu, aby v rámci aktualizace oněch 1,1 miliardy počítačů dostalo opravu co nejrychleji a nemuselo se čekat na plánovaný Critical Patch Update, který má Oracle v kalendáři až na únor 2013. Oracle pak jen zkonstatoval, že se vše k nim dostalo ve finální fázi testování aktualizací a tak tento kód již nestihnou začlenit a bude tedy začleněn až v příští várce. Oracle odůvodňuje nezačlenění patche tím, že kód musí vždy projít rozsáhlým testováním vůči dalším součástem jako JRockit, Weblogic Server či E-Business Suite a zpoždění, které by říjnová várka bezpečnostních aktualizací kvůli tomu nabrala, je nepřijatelné.
To je samozřejmě pochopitelné, ale co pochopitelné není, že Oracle nechá tuto díru nezalátanou až do příští - únorové - aktualizace, i když má již nyní k dispozici kód, který chybu opravuje. Adam tento kód vytvořil během 26 minut času a nevyžadoval odebrání či přidání více než 25 znaků ve zdrojovém kódu. Podle jeho názoru tento patch nevyžaduje žádné rozsáhlé testování vůči dalším produktům Oracle. Jednoduše proto, že opravuje lokální (interní) problém Javy, nikoli její napojení na další prvky, logika zdrojového kódu se patchem nijak nemění.
Tak doufejme, že se Oracle chytne za hlavu a něco s tím udělá. Mimochodem, používáte třeba internetové bankovnictví, které vyžaduje Javu? :-)