Oracle heeft zoals aangekondigd een noodpatch voor twee ernstige Java-lekken uitgebracht, waarvan er één op grote schaal door cybercriminelen werd gebruikt om internetgebruikers te infecteren. Het gaat in dit geval om kwetsbaarheid CVE-2013-0422, waardoor het mogelijk is de Oracle Java 7 Security Manager te omzeilen. De nu verholpen lekken zijn niet aanwezig in Java 6.
Daarnaast wijzigt de noodpatch ook het standaard Java beveiligingsniveau van 'Medium' naar 'High'. Door deze nieuwe instelling krijgt een gebruiker altijd een waarschuwing te zien voordat een ongesigneerd Java applet of Java Web Start applicatie wordt uitgevoerd.
Vanwege het grootschalige misbruik adviseert Oracle gebruikers van Java 7 om de update direct te installeren, wat via Java.com gedaan kan worden.
Misbruik
De andere kwetsbaarheid, CVE-2012-3174, is net zo ernstig als CVE-2013-0422, maar zou nog niet actief misbruikt worden. In beide gevallen volstaat het bezoeken van een kwaadaardige of gehackte website. Het lek werd vorige week ontdekt, maar zou mogelijk al sinds halverwege december door cybercriminelen zijn ingezet.
De Poolse beveiligingsonderzoeker Adam Gowdiak liet tegenover Security.nl weten dat het lek veroorzaakt werd door slordig patchwerk aan de kant van Oracle. Doordat het bedrijf een oudere kwetsbaarheid niet goed had verholpen, was het voor aanvallers mogelijk om Java 7-gebruikers alsnog aan te vallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.