Oracle snelt een nieuwe Java-update uit, repareert 50 kwetsbaarheden

Na de onthullingen door beveiligingsonderzoekers van kwetsbaarheden in de laatste update van Java die in januari werd uitgebracht, is Oracle snel een andere bundel met fixes voor de programmeertaal uit de lucht gaan halen.

De nieuwste update, oorspronkelijk gepland voor release op februari 19 bevat 50 beveiligingsoplossingen voor 49 fouten die zonder toestemming op afstand konden worden gebruikt. Dat betekent dat ze kunnen worden gebruikt in een netwerk zonder dat ze een gebruikersnaam en wachtwoord weten.

Oracle zei dat het vroeg werd geüpdatet omdat een van de kwetsbaarheden die in de update worden behandeld al in het wild wordt misbruikt.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

"Vanwege de dreiging van een succesvolle aanval, beveelt Oracle met klem aan dat klanten zo snel mogelijk CPU-fixes toepassen", waarschuwde het bedrijf in een update-advies.

Oracle haastte zich een beveiligingsfix voor Java in januari, nadat het Computer Emergency Readiness Team van het Department of Homeland Security (VS-CERT) de software aanbevalte om vanwege veiligheidsredenen uitgezet te worden door al haar gebruikers. Deze zorgen betroffen een Zero Day-kwetsbaarheid die wordt misbruikt door toolkits die door cybercriminelen zijn gemaakt en die worden gebruikt om gevoelige informatie van computers te stelen.

Zelfs na het vrijgeven van die fix, Java 7 update 11, raadde het bureau nog steeds Java uit, tenzij het absoluut werd gebruikt noodzakelijk.

Al snel werd duidelijk dat de 7u11-fix zijn sporen had gemist. Slechts enkele dagen na de release begon een hacker in de online zwarte markt een paar nieuwe Java Zero Day-kwetsbaarheden te lanceren voor $ 5000 elk.

Andere hackers, misschien niet de vaardigheden om kwetsbaarheden te vinden, begonnen de krantenkoppen over Java-ellende te exploiteren door phishing-expedities met valse updates van de programmeertaal van Oracle. Na installatie door een gebruiker installeert de nepupdate een achterdeur naar een systeem waarmee een hacker het kan besturen.

Fout gevonden in update

De tegenslagen van Java gingen door toen Security Explorations, een Pools beveiligingsbedrijf met een geschiedenis van het vinden van beveiligingslekken in Java, ontdekte nieuwe kwetsbaarheden in de 7u11-update die kunnen worden uitgebuit om de sandbox van het programma te vermijden - een programmeertechniek die wordt gebruikt om de schade te isoleren die schadelijke code kan doen aan een systeem.

"Deze problemen zullen doorgaan totdat Oracle de sandbox herstelt, "zei Bitdefender Senior E-Threat-analist Bogdan Botezatu in een interview.

Botezatu was kritisch over hoeveel Oracle vertrouwde op gebruikers om de 7u11-update te onderhouden.

Bijvoorbeeld de update stelt standaard het hoogste beveiligingsniveau voor Java in. Op dat niveau verschijnt er telkens wanneer een niet-ondertekende Java-applet in een browser wordt uitgevoerd, een bericht dat een gebruiker waarschuwt dat de app gevaarlijk kan zijn en dat de gebruiker op eigen risico moet doorgaan.

Over het algemeen negeren gebruikers dergelijke waarschuwingen omdat ze vinden ze vervelend. Dat geldt in het bijzonder voor kinderen die op internet Java-games spelen - een feit, benadrukt Botezatu, niet verloren bij digitale desperado's. "Ik heb veel websites met Java-malware laten zien op pagina's die zijn geoptimaliseerd met zoekwoorden die zijn gericht op kinderen," zei hij.

Met de nieuwste Java-update probeert Oracle zijn geluk met het programma te veranderen. Het lijkt erop dat update 12 in zijn nummeringsschema is overgeslagen en de nieuwste bundel met fixes Java 7-update 13 heeft aangewezen.