Een hacker biedt op internet een nieuwe Java 0-day aan. De kwetsbaarheid zit in Java JRE7, update 9, meldt beveiligingsonderzoeker Brian Krebs. Volgens de aanbieder van de zero-day werkt een exploit ervan niet op oudere Java-versies en zit de bug in 'MidiDevice.Info'.

De hacker testte de exploit naar eigen zeggen met zowel Internet Explorer als Firefox op Windows 7. Daarop zou een hack via het gat in de software uit te voeren zijn. Zo kunnen cybercriminelen op afstand schadelijke software naar een systeem pompen via de browser.

Lucratieve lekken

De ontdekker van de vermeende bug eist een flink geldbedrag voor de bug, maar dan kun je wel exclusief gebruikmaken van de exploit. Het precieze bedrag vermeldt de verkoper er niet bij, behalve dat de kwetsbaarheid een bedrag van vijf cijfers moet opleveren. Krebs wijst erop dat een exploit die wordt toegevoegd aan de hackerskit BlackHole 100.000 dollar kan opleveren.

Kritieke 0-days lekken waren vaak jarenlang rond en worden zeer gericht door professionele hackers gebruikt om specifieke doelen aan te vallen. Na 'day zero', oftewel de bekendmaking van het gat, wordt de exploit in rap tempo minder waard. Diverse penetratietools en hackerskits voegen de exploit toe, en het gat wordt vervolgens snel gepatcht.