De Java-noodpatch van vorige week dicht weliswaar 0-day gaten, maar weet het geplaagde platform niet helemaal te beveiligen. Java-versie 7 update 11 bevat twee beveiligingsgaten waarmee de ingebouwde isolatie (sandbox) voor Java-code kan worden omzeild. Kwaadwillenden kunnen hierlangs eigen malicieuze code uitvoeren op de Java-draaiende computer van een slachtoffer.

Verder spitten

Het Poolse it-beveiligingsbedrijf Security Explorations heeft deze gatencombinatie onderzocht en weet er succesvol misbruik van te maken. Ceo Adam Gowdiak van die firma meldde dit vrijdag op de Full Disclosure-mailinglist. Hij stelt dat Oracle's recente noodpatch al niet helemaal op orde was en dat zijn team daardoor werd geïnspireerd om verder te spitten.

"Als gevolg daarvan hebben we twee nieuwe security-kwetsbaarheden (nummer 51 en 52) gevonden in een recente versie van Java SE 7-code." Die gaten zijn direct gemeld aan Java-maker Oracle, "samen met werkende proof-of-concept code", schrijft Gowdiak. Eind vorig jaar heeft Security Explorations al bekend gemaakt dat het in totaal 50 gaten heeft gevonden in Java, die allen zijn gemeld aan Oracle.

Op OK klikken

Succesvol misbruik is niet zomaar mogelijk op Java 7u11, geeft hij tegenover technieuwssite Ars Technica aan. Die nieuwste versie heeft namelijk een maatregel doorgevoerd die Java-applets niet direct draait als die code niet- of zelf-ondertekend is.

De eindgebruiker krijgt dan een dialoogvenster voorgeschoteld en kan op OK klikken om de onvertrouwde Java-code alsnog uit te voeren. Deze horde kan echter worden genomen met social engineering, of een gestolen certficaat voor ondertekening.

Cybercriminelen al actief

Vorige week kwam al aan het licht dat een vers 0-day gat (waar dus nog geen patch voor bestaat) te koop wordt aangeboden op een ondergrondse cybercrimemarkt. Vervolgens dook er ook malware op die zich voordoet als update voor het onveilige Java.

Het is op dit moment niet duidelijk of dat commerciële aanbod bestaat uit de nu gemelde gatencombinatie, of dat laatstgenoemde nóg een nieuw lek in Java is. Security-experts, en ook het Amerikaanse ministerie van Binnenlandse Veiligheid (Homeland Security), raden hoe dan ook het gebruik van Java af. De doorsnee gebruiker kan die software beter helemaal dumpen.