Er is opnieuw een zero-day gat gevonden in Java. De kwetsbaarheid blijkt in alle versies van Java 7 (update 10) te zitten, zo meldt AlienVault, dat de exploit door één van zijn beveiligingsonderzoekers heeft laten testen na de ontdekking door de Franse securityexpert 'Kafeine'.

Via de exploit is na het klikken op een malwarelink een pc volledig over te nemen door een aanvaller. Volgens AlienVault is er momenteel geen patch beschikbaar voor het kritieke lek. Zij raden iedereen dan ook aan om de browserapplet uit te schakelen.

'Windows en Mac OS X kwetsbaar'

“Iedereen die een geüpdatete versie van Java in Windows en waarschijnlijk ook in Mac OSX draait, loopt nu risico totdat Oracle met een patch komt. Wij verwachten binnen enkele dagen het verschijnen van een Metasploit-module, vergelijkbaar met de activiteiten die vorig jaar hebben plaatsgevonden. De exploitkits zullen deze zero-day snel oppikken", meldt Darshna Kamani van AlienVault in een mail aan Webwereld.

Volgens beveiligingsonderzoeker Brian Krebs is dat al gebeurd. Een van de mensen achter de beruchte exploitkit Blackhole zou de zero-day inmiddels op een forum al “een nieuwjaarscadeau" genoemd hebben. Krebs meldt verder ook dat het zero-day ook de laatste update 10 van Java 7 betreft.

Lucratieve lekken

Vorig jaar zijn er meerdere malen zero-days gevonden in Java. Daardoor konden aanvallers tot meerderde malen toe Trojans plaatsen, schadelijke software installeren en drive-by's uitvoeren op nietsvermoedende websitebezoekers. Java-lekken zijn vaak bijzonder lucratief en worden voor veel geld aangeboden door malwaremakers.