Om het probleem te illustreren verwijst Eeye naar een recent ontdekt lek in de Java Runtime Environment dat wordt gebruikt om in Java geschreven programma's uit te voeren.

Eeye ontdekte in januari een kritiek lek in het Java Network Launching Protocol, dat wordt gebruik om Java-programma's via internet te draaien. Hackers zouden dit lek kunnen misbruiken door via een speciaal geprepareerde website software te installeren.

Hoewel er al sinds eind juni een patch voor het lek is, heeft Sun deze nog niet verspreid onder de miljoenen Java-gebruikers. Wel heeft de fabrikant een ontwikkelversie op zijn downloadpagina gepubliceerd.

Dit is echter een doorn in het oog van Eeye, dat meent dat de vertraging door aanvallers kan worden gebruikt om de ontwikkelversie van de patch te ontleden om zo de details van het lek te ontdekken.

"Sun heeft zo'n verschrikkelijk updateproces dat ze patches voor dit lek aan aantal weken geleden hebben vrijgegeven en aanvullende patches voor verschillende versies daarna", aldus Marc Maiffret, cto van Eeye. "Als mensen de patch een paar weken geleden hebben ontleed, dan hebben ze een voorsprong." Bron: Techworld