Dit constateert Brian Krebs, columnist en veiligheidsonderzoeker van de Washington Post. Toen hij het alternatief voor Microsoft Office wilde updaten merkte hij op dat bij de gewone installatie-opties van OpenOffice.org 3.0.1 automatisch de Java 6 update 7 wordt meegeleverd. Dat is een versie van Java die bijna een jaar oud is. Inmiddels is Java-ontwikkelaar Sun al beland bij versie 6 update 12.

"Daar moet je op letten omdat kwaadwillenden veiligheidslekken kunnen uitbuiten die later gedicht zijn. Maar ook omdat Java 6 Update 7 werd vrijgegeven vóórdat Sun een functie inbouwde die 'secure static versioning' heet. Die functie is bedoeld om het aanroepen van oudere versies van Java door websites te blokkeren", schrijft Krebs.

Automatisch deïnstalleren

Vanaf update 11 begon Sun met het automatisch deïnstalleren van oudere versies van Java. Volgens Krebs werden er echter geen versies verwijderd die ouder waren dan update 10.

Voor Krebs is het ook voltrekt onduidelijk waarom OpenOffice geleverd wordt met de verouderde versie van Java. Volgens hem werkt het officepakket prima met update 12. De security-expert heeft OpenOffice.org gevraagd om een verklaring.