Het Java-ontwikkelplatform dat IBM aanbiedt blijkt niet alleen nieuwe beveiligingslekken te bevatten, ook oude kwetsbaarheden zijn niet goed opgelost. Via de lekken in de IBM SDK, Java Technology Edition software is het mogelijk om het onderliggende systeem volledig over te nemen, aldus het Poolse beveiligingsbedrijf Security Explorations. Het bedrijf ontdekte zeven nieuwe kwetsbaarheden.
De problemen worden veroorzaakt door het onveilig gebruik of de onveilige implementatie van de Java Reflection Application Programming Interface (API). Reflection wordt vooral gebruikt door programma's die het gedrag van applicaties in de Java virtual machine moeten kunnen controleren of aanpassen. Het gebruik van dezelfde API zorgde ook meerdere keren voor lekken in Oracle's Java.
Lapwerk
Naast de nieuwe kwetsbaarheden ontdekte Security Explorations vier eerder gerapporteerde problemen uit september 2012, die niet correct door IBM waren opgelost. Een eenvoudige aanpassing van de exploit zorgde ervoor dat het lek nog steeds te misbruiken is en een aanvaller de IBM Java omgeving volledig kan overnemen.
Volgens de Poolse beveiligingsonderzoeker Adam Gowdiak probeert IBM met de fixes die het aanbracht alleen één specifieke exploit-vector te detecteren, maar mist het veel andere scenario's. Voor alle gevonden problemen zijn proof-of-concept exploits ontwikkeld. Gowdiak heeft IBM vandaag over de problemen ingelicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.