Java 7 Update 17 dicht een gat dat actief werd misbruikt door aanvallers met een uitvoeringsbestand dat de naam McRat heeft meegekregen. Dat was voor Oracle reden om buiten het patchschema om een nieuwe update uit te brengen. De kwetsbaarheid werd vorige week vrijdag ontdekt door FireEye, maar Oracle zegt nu al op 1 februari op de hoogte te zijn gebracht van de bug, maar kon het naar eigen zeggen niet meer meenemen in de Critical Patch Update for Java SE (Java 7 Update 15) van 19 februari.

Oracle wilde de kwetsbaarheid CVE-2013-1493 aanvankelijk dichten in de gebruikelijke update die staat gepland voor 16 april, maar door de actieve exploit ervan, zoals gisteren al is gemeld op Webwereld, besloot het nu al te pleisteren. De andere bug die wordt verholpen heeft zijdelings met CVE-2013-1493 te maken.

Weer vijf nieuwe gaten ontdekt

Maar ondertussen heeft de Poolse securityfirma Security Explorations alweer vijf nieuwe gaten in Java ontdekt. Oracle zegt die claims te onderzoeken. De vijf nieuwe gaten moeten gezamenlijk worden geëxploiteerd om succesvol een aanval te kunnen afronden, meldt The Next Web. Volgens de Polen maakt dat misbruik door aanvallers wel wat onwaarschijnlijker. Security Explorations meldde voor het weekeinde ook al twee zero-days, maar die claim wordt door Oracle betwist. Beide bedrijven zijn hierover nog aan het steggelen.

Een exploit op de nu gepatchte zero day in Java bleek gebruik te maken van een certificaat van het gehackte beveiligingsbedrijf Bit9. Het botnet achter de trojan wordt gebruikt voor bedrijfsspionage. Volgens Symantec gaat het om Trojan.Naid. Dat dll-bestand wordt bij het surfen naar een besmette webpagina gedropt door de trojan Maljava. Naid maakt contact met een botnet.