Bij de helft van alle malware-aanvallen die in een jaar zijn gedetecteerd door securitysoftware van Microsoft zijn Java-exploits ingezet. Dit blijkt uit onderzoek van Microsofts Trustworthy Computing-groep. Gedurende de periode van mid 2010 tot midden dit jaar heeft de Windows-producent 27 miljoen aanvallen op Java-gaten onderschept.

Ongepatchte installaties

De meeste van kwetsbaarheden in Oracle's Java-platform zijn lang geleden al gepatched, zegt directeur Tim Rains van de Microsoft-groep tegen Computerworld.com. Toch zijn de aanvallen op die gaten een bedreiging, want Java-installaties lopen in de praktijk enorm achter. De al maanden beschikbare Java-patches blijken nauwelijks te zijn geïnstalleerd.

De meest geblokkeerde Java-malware - 2,5 miljoen stuks in de eerste helft van dit jaar - mikt op een gat dat anderhalf jaar terug al is gedicht. Dat lek is in maart 2010 openbaar gemaakt en diezelfde maand nog door Oracle gepatcht. Microsoft zet de Java-dreiging uiteen in de elfde editie van zijn Security Intelligence Report (pdf), dat vorige maand is verschenen.

Drie jaar oud gat

De op één na meest geblokkeerde Java-malware voor de hele periode van twaalf maanden, misbruikt een gat dat in december 2008 is gepatcht. Andere Java-lekken die in de praktijk worden misbruikt, zijn gedicht in november 2009 en maart 2010. Microsoft heeft in oktober vorig jaar al alarm geslagen over een enorme golf aan Java-aanvallen.

Beveiligingsexperts onderschrijven de bevinding dat Java-installaties flink achterlopen met patches. “84 procent van de machines die wij scannen, heeft niet de Java-update van juni 2011 geïnstalleerd. 81 procent heeft niet de update van februari 2011, en 60 procent heeft niet de update van maart 2010", zegt cto Wolfgang Kandek van securityleverancier Qualys tegen Computerworld.com.

0-day versus antieke gaten

De Java-patch van oktober dit jaar is nog niet meegenomen in de analyse van Qualys. Kandek schat dat 90 procent van alle Windows-pc's die nieuwste update nog niet heeft geïnstalleerd. Microsoft-topman Rains heeft in oktober al gesteld dat de dreiging van 0-day gaten meevalt. Dat zijn lekken waar nog geen patches voor zijn. Antieke gaten blijken populairder bij malwaremakers.