Los expertos de Security Explorations han advertido sobre la ineficacia de un parche de seguridad para Java publicado por Oracle en 2013.
El parche corregía la vulnerabilidad crítica CVE-2013-5838 en Oracle Java SE 7u25 y anteriores, y Java SE Embedded 7u25 y anteriores. Un atacante podría explotar la vulnerabilidad para salir del entorno aislado de seguridad de Java, de forma remota sin autenticación. Es decir, la vulnerabilidad podría ser explotada sobre una red sin la necesidad de utilizar una cuenta de usuario y contraseña.
Adam Gowdiak, ejecutivo de Security Explorations, dijo que se trata de la vulnerabilidad que permitía la implementación de ataque de suplantación de clase en la máquina virtual de Java y cuya solución fue publicada en septiembre de 2013.
La vulnerabilidad fue resuelta con la actualización de seguridad en JDK 7 Update 40. Sin embargo, los investigadores de seguridad encontraron que el parche de Oracle podría ser evitado fácilmente y han publicado la prueba de concepto de la solución rota, verificada con éxito en Java SE 7U97, Java SE 8U74, y Java SE 9 Early Access Build 108.
También que Oracle evaluó incorrectamente el impacto de la vulnerabilidad CVE-2013-5838, ya que no es cierto que podría ser explotado sólo a través de aplicaciones Java Web Start y applets de Java en entornos aislados (sandboxed) pues se verificó que podría ser explotado con éxito en un entorno de servidor así como de Google App Engine para Java.
Recientemente Security Explorations modificó su Política de Divulgación, mediante la cual los problemas ya informados al fabricante y que fueron solucionados de forma no adecuada no son objeto de dicha política, por lo que son divulgados públicamente y sin previo aviso.