Az Oracle idén ötödször adott ki soron kívüli frissítést a böngészőbe épülő Javához, amivel két nulladik napi sebezhetőséget javítottak.

A leírás szerint az egyik, azóta már ki is használt sérülékenység következtében a Java virtuális gép működése közben tetszőleges memóriaműveletek végrehajthatóak: a támadók egy trójai segítségével be tudják vonni a gépet egy botnetbe, és az irányító szerver segítségével utasításokat közölhetnek (a felfedezett kihasználás ugyanahhoz a támadócsoporthoz köthető, akikről nemrég a FireEye biztonsági cég számolt be).

Az Oracle azt közölte, hogy a sebezhetőséget február elsején ismerték meg, így már nem volt idő arra, hogy a február 19-ei frissítéskor javítsák, arra viszont nem akartak várni, hogy majd csak az április 16-ára tervezett update-tel foltozzák be a rést. Mivel mindkét sebezhetőség kihasználható távolról is, ezért a cég a legmagasabb veszélyességi fokozattal látta el őket. A leírás azt is tartalmazza, hogy Java SE 2D komponensét érintő sérülékenységek nem érintik a szervereken futó Javát, az önálló asztali alkalmazásokat, illetve a beágyazott Java-alkalmazásokat sem.

A fejlesztők azonban a frissítés után sem pihenhetnek, mivel egy lengyel biztonsági cég közölte, hogy újabb sérülékenységet találtak. A cég közleménye szerint február 25. óta összesen hét hasonló gondról értesültek, ezek javításán még dolgoznak.

Az új Java-változat letölthető az Oracle weboldaláról, illetve (Windowson) automatikus frissítésként is megérkezik.