Cuando Oracle finalmente  parcheó el error de día cero CVE-2012-4681 Java 0day que se encontraba activamente en explotación, la firma polaca de seguridad Security Explorations inmediatamente dijo haber encontrado una falla similar que podría poner de nuevo a los usuarios de Java en peligro en muy poco tiempo.

"El parche fue lanzado fuera del ciclo de actualizaciones de Oracle el día de ayer y corrige, ente otras cosas, el vector de explotación con el uso de la clase SunToolkit, la cual usamos en los códigos de nuestra prueba de concepto. Esto hizo que muchos de ellos dejaran de funcionar... hasta hoy", compartió el Director Ejecutivo de la compañía, Adam Gowdiak.

"Cuando se combina con alguno de los problemas encontrados en abril de 2012, la nueva edición de Oracle permite obtener la Máquina Virtual de Java (JVM) Sandbox Bypass completa en la última actualización de Java SE 7 Update 7."

La existencia de esta falla ha sido confirmada por parte de Oracle, dijo Gowdiak, y se corregirá en el próximo ciclo de actualizaciones críticas de Java, programado para el 16 de octubre.

A pesar de que no hay ninguna mención de actividad actual en los ataques que explotan la falla, los usuarios podrían anticiparse a los atacantes al deshabilitar o eliminar Java y/o los applets de Java hasta que el parche sea liberado.