SiteBuilder van Yahoo wordt gebundeld met update 7 van het platform Java 6, dat inmiddels bij update 39 is aanbeland. De websitetool installeert een versie van Java die hopeloos verouderd is en honderden gaten vertoont die misbruikt worden door onder meer drive-by exploits. Met de tool kunnen kleine bedrijven eenvoudig een site in elkaar zetten.

'Internetbedrijf moet beter weten'

Bedrijven die de tool gebruiken en daarbij Java installeren, stellen hun netwerk open voor allerlei kwetsbaarheden in Java, die veel worden misbruikt door cybercriminelen via exploit-kits als Blackhole en Sweet Orange. De gaten in interactieve elementen zijn een grote bron van browserkapingen.

“Yahoo is een groot internetbedrijf dat beter zou moeten weten", schrijf Brain Krebs. “Spijtig genoeg is deze dienst gericht op kleine bedrijven, die vaak minder goed weten waarom het belangrijk is dat Java bijgewerkt is en het vaakst doelwit zijn van cyberdiefstallen."

Vragen softwarebundel

Het internetbedrijf heeft nog niet gereageerd op vragen van de beveiligingsonderzoeker over de bundeling met de oude Java-versie. Daarom vraagt hij zich ook nog af of deze oude versie daadwerkelijk is vereist door SiteBuilder.

Platformversie 6 wordt naast een eventuele recente update van Java 7 geïnstalleerd. Ook computers die zijn bijgewerkt met de laatste update worden er op deze manier niet veiliger op, omdat de brakke versie in het bestandsysteem wordt verwerkt.