Méně než 24 hodin poté, co Oracle vydal update 11 pro Javu 7, objevil Brian Krebs na jednom kriminálním fóru nabídku na prodej nového „0day“ útoku proti Javě. Zajímavé bylo, že dotyčný nabízel, že ji prodá pouze dvěma zájemcům, a to za poměrně „lidovou“ cenu po pěti tisících dolarů. Nabídka už mezitím z fóra zmizela.
Brian Krebs přiznává, že nemůže prokázat, že nový útok existuje, ale podle okolností — kde a kým byla nabídka učiněna — odhaduje, že byla pravá. Otázkou zůstává, proč byla tak zalevno. Možná jde o útok okrajový, hůře využitelný; možná cenu stlačilo to, že kdo může, ten Javu nyní ve svém prohlížeči zakázal.
Podstatné je, že Java 7 patrně zůstává zranitelná a že na to žádná záplata není, a pravděpodobně existující útok se dříve nebo později beztak rozšíří. Již před několika dny jsme upozornili, že Java 7 podle odborníků obsahuje další zranitelnosti.
Brian Krebs soudí, že Oracle jako firma není připraven na to, že se převzetím Javy (v rámci koupě Sun) dostal do situace, že jeho software je provozován na stovkách milionů PC koncových uživatelů.
Gabor Szappanos, výzkumník pro SophosLabs, nedávno zkoumal příčiny, proč BlackHole Exploit Kit uspíval zdaleka nejčastěji především skrze Javu. Dospěl k vysvětlení, že uživatelé — přinejmenším před současnou mediální kampaní za zamezování Javy, pokud ji nepotřebujete — nepovažovali Javu za hrozbu a nevěnovali odpovídající pozornost tomu, zda mají alespoň nejnovější verzi, když už Javu mají v prohlížeči.
