Het veelgeplaagde Java heeft slechts enkele dagen na het uitkomen van een monsterpatch opnieuw problemen. Oracle heeft in zijn patchronde van eerder deze maand 42 gaten gedicht. Beveiligingsonderzoeker Adam Gowdiak van Security Explorations onthult nu een nieuw gat. Daarmee is de security-sandbox geheel te omzeilen, in alle releases van Java 7 SE (Standard Edition).

Ook in serveruitvoering

Gowdiak heeft Java-maker Oracle een rapport over deze kwetsbaarheid gestuurd, compleet met proof-of-concept code. Dat laatste is exploitcode die de kwetsbaarheid uitbuit en dus het bestaan van het beveiligingsgat demonstreert. Details worden nog onder de pet gehouden, maar Java-gatenontdekker Gowdiak merkt in zijn disclosure-melding op dat deze nieuwe kwetsbaarheid niet slechts in de 'eindgebruikersuitvoering' van Java zit.

Het is volgens hem niet alleen aanwezig in de JRE plug-in (Java Runtime Environment) en de JDK-software (Java Development Kit), maar ook aanwezig in de recent aangekondigde Server JRE. Die uitvoering van Oracle's platform is bedoeld voor het inzetten van Java in serveromgevingen. De Server JRE draait op 64-bit Linux, Oracle's Unix-variant Solaris en Windows.

61e gat

Het risico voor misbruik via een webbrowser valt in de praktijk nog mee. De kwetsbaarheid valt namelijk pas te benutten als een eindgebruiker een Java-applet permissie geeft om te draaien. Dan pas kan een malafide applet dit gat gebruiken om uit de isolatie van de sandbox te breken. Security Explorations merkt nog op dat dit gat nummer 61 is dat het sinds april 2012 heeft gevonden en gemeld aan Oracle.