De acordo com Adam Gowdiak, fundador e CEO da empresa de segurança polonesa Security Explorations, a Oracle sabia desde abril sobre a existência de duas vulnerabilidades sem correção do Java 7, que são exploradas em ataques de malware.

No dia 2 de abril, a empresa de segurança relatou as questões sobre o Java 7 para a Oracle, que incluem duas vulnerabilidades “zero-day” (sem correção), que os hackers estão explorando para infectar computadores com malware. A organização continuou a reportar os problemas nos meses seguintes.

Pesquisadores de segurança da empresa Immunity afirmaram que o exploit Java publicado online esta semana e integrado ao conjunto de ferramentas de ataque Blackhole utiliza duas vulnerabilidades Java.

O relatório que a Oracle recebeu em 23 de agosto mostrou que a empresa estava planejando corrigir duas vulnerabilidades em seu Critical Patch Update (CPU) em outubro junto com outras 17 falhas de segurança do Java 7, segundo Gowdiak.

A Oracle divulga correções de segurança a cada quatro meses. O último Java CPU foi lançado em junho e só atendeu a três dos problemas de segurança relatados pela empresa polonesa. “Apesar de ficar em contato com a Oracle, não sabemos por que ela deixou tantos erros graves para a CPU de outubro”, afirmou o CEO.

Com informações de Computerworld