Vorige week rapporteerden twee onderzoekers een lek in een plugin voor Java, die default geïnstalleerd is. Sun, een divisie van Oracle, vond het lek echter niet spannend genoeg om in de kwartaalupdates van afgelopen dinsdag mee te nemen. Onderzoeker Ormandy was het daar niet mee eens, en hij bracht het lek in de openbaarheid. Zijn bedenkingen werden nog eens onderstreept toen nog een andere onderzoeker het lek gevonden bleek te hebben.

In het wild

En nu blijken ook criminelen te begrijpen waar het lek zit en wordt de exploit in het wild gebruikt, dat meldt onder andere Brian Krebs. Vooralsnog is alleen de site songlyrics.com besmet. Van daar wordt de bezoeker geredirect naar een Russische site, waar ofwel de exploit kit Crimepack of SEO Sploit Pack geladen wordt, daar zijn de experts het nog niet over eens. De site is inmiddels op de hoogte gesteld en kan er nu iets aan doen. Maar nu er één schaap over de brug is zullen er waarschijnlijk meer volgen.

It's a feature

De functionaliteit waar het om gaat is in 2008 door Sun geïntroduceerd, en maakt het voor ontwikkelaars makkelijker om software te installeren. Volgens Roger Thompson van AVG is dat achteraf vragen om problemen, omdat het dan voor kwaadwillenden natuurlijk ook makkelijker wordt om programma’s te installeren. En omdat het is ontworpen als een feature, werkt het met zowel Internet Explorer als Firefox.

Thompson schrijft verder op zijn blog dat de code nog niet in de verschillende exploit kits zit, maar dat is nog slechts een kwestie van tijd. Hij benadrukt dan ook dat Oracle met een out-of-band patch zal moeten komen.

Bron: Techworld