Sun-eigenaar Oracle heeft de patch om dit lek te dichten in allerijl uitgebracht. Normaliter hanteert het bedrijf een kwartaalcyclus voor het uitbrengen van patches. Bovendien heeft Oracle niet de reputatie gaten snel te dichten. De noodpatch is dinsdag uitgekomen, terwijl de bug op 31 januari is geopenbaard.

Het nu met spoed te dichten gat is een fout in de verwerking van een specifiek groot getal: 2.2250738585072012e-308. De Java-code op zowel pc’s als servers kan hiermee worden aangezet tot een oneindige loop van berekeningen die de processor (of processors) volledig belast. Dit kan op eenvoudige wijze: een kwaadwillende hoeft de kwetsbare Java-omgeving slechts een bepaalde header-waarde toe te sturen.

Java-servers

“Een succesvolle aanval op deze kwetsbaarheid kan leiden tot de ongeautoriseerde mogelijkheid om de Java Runtime Environment vast te laten lopen of die herhaaldelijk te laten crashen”, zegt Oracle tegen Computerworld. Overigens zou dit gat al 10 jaar geleden zijn gemeld aan toenmalig Java-eigenaar Sun Microsystems.

Het nu door Oracle genoemde vastlopen komt neer op de genoemde overbelasting. Het crashen is een echt uitvallen van de Java-omgeving, wat neerkomt op een denial of service van de daarop draaiende software. “Java-applicaties en webservers lopen vooral risico door deze kwetsbaarheid”, waarschuwt Oracle dan ook.

Soortgelijk lek in PHP

Begin vorige maand is een soortgelijke bug ontdekt in programmeertaal PHP. Dat vergelijkbare lek in PHP is binnen twee dagen al gedicht. Hackers en malwaremakers richten zich in toenemende mate op ‘alternatieve doelwitten’, dus naast besturingssystemen zoals Windows. Java ligt daarbij ook onder vuur, naast de al populaire doelwitten Flash en Reader van Adobe.

Halverwege 2010 is Java plots enorm gestegen in ‘populariteit’ bij exploitpogingen, blijkt uit onderzoek van Microsoft. Die aanzwellende jacht op ‘nuttige’ beveiligingsgaten heeft Oracle eerder al aangezet tot haast voor het uitbrengen van Java-patches.

2 jaar openstaand gat

Op dit moment staat er echter nog een lek open dat de ontdekker 2 jaar geleden al heeft gemeld bij toenmalig Java-eigenaar Sun Microsystems (later ingelijfd door Oracle). Details over dit lek zijn nu geopenbaard door de ontdekker.

Het al 2 jaar openstaande gat zit in het JFileChooser-component waarmee Java-applets bestanden op een computer kunnen aanpassen zonder medewerking of medeweten van de gebruiker. Tests door de Duitse tech-site Heise Security tonen aan dat dit lek in de tussentijd niet stilletjes is gepatcht. Misbruik ervan is nog steeds mogelijk.