Een Poolse beveiligingsonderzoeker heeft twee ernstige beveiligingslekken in de meest recente versie van Java ontdekt die Oracle afgelopen zondag publiceerde en waarvoor nog geen oplossing is. Die versie verscheen vanwege een zero day-lek dat nog altijd actief door aanvallers wordt gebruikt voor het aanvallen van kwetsbare computers.
Sandbox
Al gauw werd duidelijk dat Java 7 Update 11 slechts één van de twee problemen verhielp. Adam Gowdiak van Security Explorations besloot verder onderzoek naar de veiligheid van Java te verrichten, en ontdekte twee geheel nieuwe beveiligingsproblemen. Deze lekken, nummer 51 en 52 genaamd, maken het mogelijk om uit de sandboxbeveiliging te ontsnappen en het onderliggende systeem over te nemen.
Gowdiak laat op de Full-disclosure mailinglist weten dat Oracle vandaag is ingelicht. Naast informatie over de kwetsbaarheid zou het bedrijf ook een werkende proof-of-concept exploit hebben ontvangen.
Deze week werd op een cybercrime-forum voor 4.000 euro een zero-day exploit voor een onbekend lek in Java 7 Update 11 aangeboden, maar het is nog altijd onduidelijk of het hier om een echt lek gaat.
Verwijderen
Door de stroom van beveiligingslekken hebben allerlei organisaties en experts, waaronder de Amerikaanse overheid, inmiddels opgeroepen tot het geheel verwijderen van Java. De browserplug-in is op zo'n 70% van alle computers geïnstalleerd, maar is voor normaal internetgebruik nauwelijks nodig.
Naast een zeer beperkt aantal sites dat Java vereist, niet te verwarren met JavaScript, zijn er echter ook verschillende populaire spellen, zoals Minecraft, die alleen met Java werken.
Deze posting is gelocked. Reageren is niet meer mogelijk.