De noodpatch die Oracle voor een zeer ernstig beveiligingslek in Java uitbracht blijkt niet alle problemen op te lossen, waardoor miljoenen gebruikers nog steeds risico lopen. Dat beweert het Amerikaanse beveiligingsbedrijf Immunity dat de noodpatch van Oracle onderzocht. De exploit die aanvallers gebruikten om Java 7 Update 10 en oudere Java 7-versies aan te vallen, gebruikt twee lekken.
Uit onderzoek blijkt dat Java 7 Update 11 slechts één van de twee kwetsbaarheden oplost, waardoor Java nog steeds kwetsbaar is voor één van de lekken die de exploit gebruikt en actief door aanvallers wordt ingezet. Op bijna 70% van alle computers is Java geïnstalleerd.
Exploit
Immunity stelt dat de noodpatch wel de exploit stopt, maar dat een aanvaller met voldoende kennis van Java en met een andere zero-day alsnog eenvoudig de computers van Java- gebruikers kan infecteren. Daarvoor moet dan wel een gesigneerd Java applet worden gebruikt. De noodpatch wijzigt namelijk ook de standaard beveiligingsinstellingen van Java.
Door deze nieuwe instelling krijgt een gebruiker altijd een waarschuwing te zien voordat een ongesigneerd Java applet of Java Web Start applicatie wordt uitgevoerd.
Code
"Java blijft een continu doelwit voor aanvallers, en niemand moet verrast opkijken als een aanvaller het gepatchte lek met een ander lek vervangt en weer machines infecteert", zegt Nico Waisman.
"Daarom is het belangrijk voor Oracle en hun gebruikers dat ze extra aandacht aan elk lek geven, omdat bij de keten van exploits die vandaag de dag nodig is, elk lek belangrijk is."
Deze posting is gelocked. Reageren is niet meer mogelijk.