Oracle geeft noodfix vrij voor Java zero-day exploit

Oracle heeft maandag noodparadijzen voor Java uitgegeven om twee kritieke kwetsbaarheden aan te pakken, waarvan er één actief wordt uitgebuit door hackers bij gerichte aanvallen.

De kwetsbaarheden, geïdentificeerd als CVE- 2013-1493 en CVE-2013-0809 bevinden zich in de 2D-component van Java en hebben de hoogst mogelijke impactscore van Oracle gekregen.

"Deze kwetsbaarheden kunnen op afstand worden gebruikt zonder authenticatie, dwz ze kunnen worden misbruikt via een netwerk zonder de noodzaak van een gebruikersnaam en wachtwoord ", zei het bedrijf in een beveiligingswaarschuwing. "Om een ​​exploit succesvol te laten zijn, moet een nietsvermoedende gebruiker van een getroffen versie in een browser een schadelijke webpagina bezoeken die gebruikmaakt van deze kwetsbaarheden. Succesvolle exploits kunnen van invloed zijn op de beschikbaarheid, integriteit en vertrouwelijkheid van het systeem van de gebruiker. "

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

De onlangs uitgebrachte updates stoten Java naar versie 7 Update 17 (7u17) en 6 Update 43 (6u43), overslaan van 7u16 en 6u42 om redenen die niet meteen duidelijk waren.

Oracle merkt op dat Java 6u43 de laatste openbaar beschikbare update voor Java 6 is en adviseert gebruikers om te upgraden naar Java 7. De de openbare beschikbaarheid van Java 6-updates zou eindigen met Java 6 Update 41, uitgebracht op 19 februari, maar het lijkt erop dat het bedrijf een uitzondering maakte voor deze noodpatch.

De kwetsbaarheid van CVE-2013-1493 is actief uitgebuit door aanvallers sinds ten minste afgelopen donderdag, toen onderzoekers van beveiligingsbedrijf FireEye aanvallen ontdekten door het te gebruiken om een ​​stuk malware met externe toegang te installeren, genaamd McRAT. Het lijkt er echter op dat Oracle sinds begin februari op de hoogte was van het bestaan ​​van deze fout.

"Hoewel meldingen van actieve exploitatie van kwetsbaarheid CVE-2013-1493 onlangs zijn ontvangen, werd deze bug oorspronkelijk gemeld aan Oracle op 1 februari 2013, helaas te laat om te worden opgenomen in de 19 februari release van de kritieke patch-update voor Java SE, "zei Eric Maurice, Oracle's directeur van software assurance, in een blogpost maandag.

Het bedrijf had gepland om CVE-2013- 1493 in de volgende geplande Java Critical Patch Update op 16 april, zei Maurice. Omdat het beveiligingslek echter werd misbruikt door aanvallers, besloot Oracle eerder een patch uit te brengen.

De twee beveiligingslekken die worden aangepakt met de nieuwste updates hebben geen invloed op Java dat wordt uitgevoerd op servers, zelfstandige Java-bureaubladtoepassingen of ingesloten Java-toepassingen, Zei Maurice. Gebruikers worden geadviseerd om de patches zo snel mogelijk te installeren, zei hij.

Gebruikers kunnen ondersteuning voor webgebaseerde Java-inhoud uitschakelen via het tabblad Beveiliging in het Java-configuratiescherm als ze geen Java op het web nodig hebben. De beveiligingsinstellingen voor dergelijke inhoud staan ​​standaard op 'hoog', wat betekent dat gebruikers worden gevraagd om de uitvoering van Java-applets die niet ondertekend zijn of zelfondertekende inside-browsers toe te staan.

Dit is ontworpen om de geautomatiseerde exploitatie van Java-kwetsbaarheden over de Web, maar werkt alleen als gebruikers weloverwogen beslissingen kunnen nemen over welke applets moeten worden geautoriseerd en welke niet. "Om zichzelf te beschermen, moeten desktopgebruikers alleen de uitvoering van applets toestaan ​​wanneer ze dergelijke applets verwachten en hun oorsprong vertrouwen", zei Maurice.