Beveiligingsexperts waarschuwen gebruikers al jaren om de Java plug-in in browsers simpelweg uit te schakelen. Dit vanwege vaak opduikende gaten in Java. Maar uit het updaterapport van Mac OS X 10.8.3 (Mountain Lion) blijkt dat er malware rondwaart die de Java Web Start-applicatie geruisloos inschakelt. Zelfs wanneer de Java plug-in is uitgeschakeld.

Dit lek wordt gedicht in de softwareupdate voor Mac OS X 10.8.3. Apple omschrijft de impact van het lek als volgt: “websites ontworpen met kwade bedoelingen konden een Java Web Start-applicatie automatisch lanceren, zelfs wanneer de Java plug-in is uitgeschakeld."

Proces geblokkeerd

De patch blokkeert dit proces door het verwijderen van de JNLP-bestanden (Java Network Launching Protocol) van de veilige bestandstypenlijst. Daardoor moet de gebruiker in het vervolg zelf de applicatie openen via de Downloads-map.

Java is een populair doelwit van malwareverspreiders. Dat komt juist omdat content automatisch wordt afgespeeld in de browser. Na voorgaande jaren zijn ook in 2013 meerderde malen kritieke gaten ontdekt in Java. Het deed zelfs Java-leverancier Oracle besluiten het roer radicaal om te gooien. Na een noodpatch van Oracle in januari moeten gebruikers zelf de plug-in activeren.

21 gaten

Apple dicht inclusief het Java-lek in totaal 21 gaten (waaronder in Safari 6.0.3) in OS X 10.8.3. Daar zit onder meer ook een update van de automatische malware verwijdertool de toegevoegde BootCamp-ondersteuning voor een dualboot met Windows 8 bij. De update is beschikbaar via het standaard Software Update-menu op de Mac.