Et dansk firma fandt i sommeren 2008 en alvorlig sårbarhed i SUN's Java og indberettede den efter alle kunstens regler til SUN, CERT, banker og leverandører.
Men først nu, halvandet år senere, er der frigivet en prop til det digitale hul.
Sårbarheden rammer alle nuværende versioner af Java, og giver mulighed for at ændre funktionaliteten af en signeret applet uden at bryde signaturen.
Dette betyder i praksis, at der kan afvikles skadelig kode på en brugers computer, via de login-løsninger, der anvendes af millioner af brugere kloden rundt.
For sløvt
Hos Signaturgruppen, der fandt sårbarheden, mener man, at SUN har været for lang tid om at strikke en lap sammen.
"Vi rapporterede efter alle kunstens regler til SUN og CERT," siger Morten Storm Petersen, direktør i Signaturgruppen.
"Desværre har det taget halvandet år at få hullet lukket. En så langsommelig fejlretning er problematisk, da det er sårbarheder af denne type, hackerne bruger som
indgangsdør," siger han.
Det er dog undtagelsen frem for reglen, at det tager så lang tid at rette fejl, fortæller lederen af DK Cert til Computerworld.
"Det er bestemt ikke normalt. De store producenter er langt hen ad vejen gode til at få sendt opdateringer af sted," siger Shehzad Ahmad.
"De lange patch-tider opstår typisk, hvis der skal foretages fundamentale ændringer i applikationen. Det er dog min erfaring, at langt de fleste producenter er meget interesserede i at få lukket sårbarheder så hurtigt som muligt."
"Når det er sagt, så er det uheldigt, at et hul er åbent i halvandet år. Det er meget lang tid," vurderer han.
