Wegens een ernstig beveiligingslek in Java dat actief door aanvallers wordt gebruikt om computers over te nemen, heeft Oracle een geplande beveiligingsupdate ruim twee weken eerder uitgebracht. Er gingen al geruime tijd geruchten dat er mogelijk in de meest recente versie van de software een nieuw beveiligingslek was ontdekt. Op een forum bood iemand een nieuwe zero-day exploit aan.
Deze aankondiging verscheen een dag na de vorige noodpatch van Oracle, die halverwege januari werd uitgebracht. Ook toen moest het bedrijf met een noodpleister komen vanwege een lek in de software waardoor internetgebruikers actief met malware werd besmet.
Hoewel er geen meldingen over zero day-aanvallen bekend zijn geworden, blijkt dat er inderdaad een lek in de software aanwezig is waardoor aanvallers kwetsbare systemen hebben overgenomen.
In tegenstelling tot Microsoft dat elke maand updates uitbrengt, doet Oracle dit elk kwartaal. Het bedrijf noemt dit de Critical Patch Update (CPU). De eerstvolgende CPU stond oorspronkelijk voor 19 februari gepland. Vanwege het nieuw misbruikte lek is die datum nu naar voren gehaald.
Update
In totaal verhelpt de Critical Patch Update 50 beveiligingslekken in zowel Java 6 als Java 7. Internetgebruikers die Java nog geïnstalleerd hebben kunnen updaten via Java.com.
Deze week werd bekend dat ondanks het verschijnen van Java-updates, alle waarschuwingen van overheidsorganisaties en media-aandacht voor aangevallen beveiligingslekken in de software, de meeste gebruikers niet of pas na zeer lange tijd updaten.
Zo bleek dat na zo'n zeven weken sinds het verschijnen van een nieuwe Java-update, die door nog geen 30% van de gebruikers was geïnstalleerd. Het bezoeken van een gehackte of kwaadaardige website met een kwetsbare Java-versie is voldoende om besmet te raken.
Op zo'n 68% van alle computers is Java geïnstalleerd. Reden voor Mozilla om Java in toekomstige versies van Firefox proactief te blokkeren. Gebruikers moeten dan eerst een extra muisklik uitvoeren voor het laden van Java-content. Gisteren besloot Apple al om Java in Mac OS X te blokkeren.
Gebruikers met gepatchte Java-installatie (Fixed) tegenover ongepatchte Java-installatie (Affected) op weekbasis.
Deze posting is gelocked. Reageren is niet meer mogelijk.