KrebsOnSecurity meldt de handel in de nieuwe exploit vandaag. Een beheerder van een cybercrimeforum meldde maandag al dat hij een nieuwe exploit had verkocht voor een zero-day lek in Java aan twee kopers. Ieder betaalde naar verluidt 5000 dollar. De nieuwe exploit zou nog geen onderdeel uitmaken van exploitkits. Het gat zit in de laatste versie van Java, Java 7 Update 11.

Volgens Krebs is de post op het forum inmiddels verwijderd, wat er volgens hem op duidt dat de verkoper zijn twee kopers heeft bevoorraad en dat de betaling is gedaan. Volgens Krebs is dit opnieuw een teken dat de enige oplossing ligt in het compleet verwijderen van Java van computers.

Patchen is niet meer voldoende

Dat advies is inmiddels ook gegeven door de CERT van de Amerikaanse overheid en diverse securityleveranciers. Oracle kan volgens hen simpelweg de snelheid van de ontwikkelingen niet bijbenen en is niet gewend om te gaan met een omgeving waarin honderden miljoenen systemen van consumenten gevaar kunnen lopen.

Oracle heeft gisteren een megapatch uitgegeven maar daarin zat geen oplossing voor Java. Een nieuwe patchronde staat op de agenda voor in mei. Zondag knalde Oracle er wel een noodpatch uit voor het toen bekende zerodaygat in Java.