Apple dicht half jaar oud Java-gat
Gepubliceerd: Dinsdag 16 juni 2009
Auteur: Jasper Bakker
Apple heeft patches uitgebracht voor de huidige en vorige versie van Mac OS X. Het dicht daarmee een lek in Java dat al zes maanden openstaat.
De updates zijn nu beschikbaar voor OS X versie 10.5 (Leopard) en voor voorganger 10.4 (Tiger). Beide patchpakketten zijn los te downloaden, maar worden ook automatisch aangeboden door de updatetool van Apple's besturingssysteem.
Onder de gedichte lekken bevindt zich er ook een die het mogelijk maakt kwaadaardige code uit te voeren buiten de beschermde Java-omgeving (sandbox). Het bezoeken van een webpagina waarop een kwaadaardig Java-applet staat, is voldoende voor uitvoering van die code. De malware draait dan met dezelfde rechten als de dan ingelogde gebruiker.
Java en Java
De twee OS X-versies hebben elk verschillende Java-versies ingebouwd, maar die hebben beide enkele beveiligingsgaten. Java-maker Sun Microsystems heeft daar een half jaar geleden al patches voor uitgebracht.
Apple voorziet OS X echter van een eigen Java-engine en moet dus eigen patches maken. Het bedrijf heeft al kritiek gevangen voor de tijd die het daarvoor neemt. Ook in de recente 10.5.7-patch is het Java-lek niet gedicht.
