De onderzoeker die net na de laatste update al twee nieuwe gaten ontdekte, waarschuwt nu voor een derde die gevolgen heeft voor de Java plug-in voor browsers. Adam Gowdiak waarschuwt dat cybercriminelen via het jongste lek nog steeds een drive by-aanval met malware kunnen uitvoeren, waardoor gebruikers niet eens op banners hoeven te klikken om besmet te worden.

Nog steeds automatisch Java

Oracle had dit juist opgelost door ervoor te zorgen dat Java-applets niet meer automatisch worden uitgevoerd, tenzij het vertrouwde Java-content betreft. In andere gevallen krijgen gebruikers een dialoogvenster voorgeschoteld waarin ze moeten toestaan of deze content mag worden uitgevoerd. Oracle hoopt hiermee dat de browser plug-in als veiliger wordt gezien.

“We ontdekten een nieuwe kwetsbaarheid (issue 53) en het blijkt dat ongetekende Java-code succesvol kan worden uitgevoerd op een Windows-systeem, ongeacht welke beveilingingsinstelling wordt gebruikt", schrijft Gowdiak. Zelfs de allerhoogste instelling waarmee ongetekende inhoud sowieso niet meer zou worden uitgevoerd, biedt geen soelaas.

Java verbeteren

“Gebruikers die Java in de browser nodig hebben, moeten vertrouwen op click-to-play-software die diverse browserfabrikanten implementeren om het risico van een stille installatie te verkleinen", aldus Gowdiak. Verschillende browsers, zoals Chrome van Google en Mozilla's Firefox, blokkeren automatisch verouderde plug-ins.

Oracle heeft beloofd Java te zullen verbeteren en meer moeite te steken in de communicatie over Java. Volgens Java's hoofd van beveiliging Milton Smith is het verbeteren van Java de hoogste prioriteit. En op de tweede plaats moet er beter worden gecommuniceerd over de issues met bijvoorbeeld de plug-in voor browsers die de laatste tijd veel in het nieuws is geweest.