Een Pools beveiligingsbedrijf heeft twee nieuwe beveiligingslekken in de meest recente versie van Java 7 ontdekt waardoor aanvallers uit de Java-sandbox kunnen ontsnappen om vervolgens het onderliggende systeem over te nemen. De kwetsbaarheden zijn alleen aanwezig in Java 7, Java 6 zou niet kwetsbaar zijn, aldus Adam Gowdiak van Security Explorations tegenover Security.NL.
De twee nieuwe beveiligingsproblemen moeten worden gecombineerd om uit de sandbox-beveiliging te ontsnappen en worden door het Poolse bedrijf als beveiligingslek 54 en 55 bestempeld. Oracle is inmiddels ingelicht en van een werkende proof-of-concept exploit voorzien.
Java 7
Gowdiak geeft geen verdere details, behalve dat het probleem specifiek in Java 7 aanwezig is en op een 'vrij interessante manier' misbruik van de Reflection API mogelijk maakt. "Zonder in al teveel detail te treden, wijst alles erop dat Oracle nu aan zet is", aldus de Poolse onderzoeker.
Oracle kondigde vorige week aan dat het updates voor Java eerder gaat uitbrengen. De volgende patchcyclus staat voor 16 april gepland. Een update voor de nu ontdekte problemen is nog niet beschikbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.