De nieuw ontdekte Java-lekken die nu op grote schaal worden gebruikt om computers te infecteren, waren al maanden bij Oracle bekend. Dat zegt de Poolse beveiligingsonderzoeker Adam Gowdiak. Op 2 april rapporteerde het beveiligingsbedrijf van Gowdiak, Security Explorations, 19 kwetsbaarheden aan Oracle. Ook de volgende maand werden verschillende lekken gerapporteerd, 29 in totaal. "We demonstreerden 16 aanvallen om de sandbox van Java SE 7 volledig via onze bugs te compromitteren", aldus Gowdiak tegenover IDG.

Gowdiak vertelde hetzelfde tegenover Security.nl tijdens een interview in mei. "Ik was verbaasd over de problemen die we tegenkwamen. Ik weet niet of er bij Oracle een groot verloop van personeel is of dat mensen met bepaalde aanvalstechnieken niet bekend zijn."

Een aantal van de aanvalstechnieken die Gowdiak in 2005 ontwikkelde werkten ook tegen Java 7 dat een paar maanden geleden uitkwam. "Deze problemen werden opnieuw in Java 7 geïntroduceerd", zo liet de onderzoeker toen weten.

Exploit
De manier waarop de aanvallers de kwetsbaarheden misbruiken verschilt van de manier die Gowdiak aan Oracle liet zien. Hierdoor denkt de onderzoeker dat de lekken ook door iemand anders zijn ontdekt, en dat de informatie niet tijdens het melden van de kwetsbaarheden is gelekt.

Toch valt ook dit niet uit te sluiten merkt Gowdiak op. "We weten niet met wie en in welke vorm Oracle informatie over beveiligingslekken deelt." Oracle zou Gowdiak op 23 augustus hebben laten weten dat het van plan was om de kwetsbaarheden in oktober te patchen.