Oracle last ruim twee weken na de laatste spoedpatch wederom een uitgebreide en urgente patchronde in, nadat afgelopen weken actief misbruik werd gemaakt van verschillende nieuwe zwakten.

50 security-pleisters

Kort na de laatste patch werden al twee nieuwe gaten bekend. En vorige week bleek dat de nieuwe strengere beveiligingsinstellingen in Java niet afdoende waren om een driveby-aanval te voorkomen. Security-onderzoeker Adam Gowdiak waarschuwde vorige week dat cybercriminelen via het jongste lek nog steeds een drive by-aanval met malware kunnen uitvoeren, waardoor gebruikers niet eens op banners hoeven te klikken om besmet te worden.

In totaal verhelpt de patch maar liefst 50 securityproblemen in Java, waarvan 26 de status zeer kritiek hebben (CVSS level 10.0). De eerstvolgende patchronde stond voor 19 februari gepland, maar is naar voren gehaald.

Java favoriete Kop van Jut

Ondertussen zwelt het koor van adviseurs aan die gebruikers op het hart drukken om in elk geval de Java browser-plugin uit te schakelen. Opmerkelijk genoeg is dat ook het advies van Twitter-securitybaas Bob Lord in zijn blogpost over de hack bij Twitter, waardoor gegevens van 250.000 gebruikers zijn buitgemaakt. Het is vooralsnog niet duidelijk of Java specifiek iets met de geavanceerde aanval op Twitter heeft te maken.

Een paar weken geleden blokkeerde Apple vanwege een groot beveiligingslek in Java de Oracle-plugin via het anti-malwaresysteem in OS X. Afgelopen vrijdag blokkeerde Apple wederom de laatste versie, hoogstwaarschijnlijk in afwachting van de noodpatch.

Sneller patchen

Het vertrouwen in het alomtegenwoordige platform wordt niet geholpen door het feit dat Oracle bij Java-updates crapware blijft meeleveren. Wel heeft het concern beloofd zwakheden sneller te verhelpen, zo blijkt ook uit twee noodpatches vlak na elkaar. Voorlopig is Java echter de favoriete kop van Jut voor hackers en cybercriminelen.

Achtergrond: Opkomst en afgang van Java