Патч для Java, который был выпущен Oracle в 2013 году, на деле является неэффективным. По словам экспертов компании Security Explorations, уязвимость, известная как «ошибка 69», так и не была устранена, в результате чего у злоумышленников сохранилась возможность пользоваться ею и в новейших версиях программного обеспечения.
Данная ошибка получила по рейтингу Oracle 9,3 из 10, так как с ее помощью пользователь, не прошедший аутентификацию, может удаленно осуществить компрометацию системы. Как утверждают эксперты, аналитики компании неверно оценили степень распространенности уязвимости. В уведомлении Oracle, датированном октябрем 2013 года, указано, что уязвимость можно использовать только для обхода песочниц в Java-апплетах и приложениях, применяющих технологию Java Web Start. Эксперты утверждают, что данная информация неверна.
По словам исследователей, им удалось доказать, что «ошибка 69» может быть с успехом использована в серверном окружении и в приложениях Java на хостинге Google App Engine.
В 2013 году специалисты Security Explorations опубликовали PoC-код для уязвимости. Как утверждает Адам Говдяк, возглавляющий Security Explorations, после того, как вышло исправление уязвимости, ее все еще можно использовать. Для этого нужно только заменить 4 символа в PoC-коде и пользоваться своим HTTP-сервером, который при определенных запросах выдает «ошибку 404».
Новый PoC-код можно применять для использования уязвимости в новейших версиях Java, в том числе SE 7 Update 97, SE 8 Update 74 и SE 9 Early Access Build 108.
Пока неизвестно, выпустят ли разработчики Oracle внеочередное обновление или подождут планового релиза.