Hoewel de Amerikaanse overheid vorige week nog afraadde Java te gebruiken, Oracle met een noodpatch kwam die slechts de helft van de problemen oploste, zijn er nu alweer twee compleet nieuwe lekken in Java ontdekt.
De Poolse beveiligingsonderzoeker Adam Gowdiak van Security Explorations deed deze ontdekking. Hij ontdekte na verder onderzoek twee lekken, nummer 51 en 52, waarmee het mogelijk wordt om uit de sandboxbeveiliging van Java te breken en zo het onderliggende systeem over te nemen.
Gowdiak laat weten dat Oracle is ingelicht over het lek. Hij heeft naast informatie over het lek ook een proof-of-concept naar het bedrijf gestuurd.
Naast de twee lekken die Gowdiak heeft ontdekt is er mogelijk nog een derde lek aanwezig in Java 7. Op een cybercrimeforum werd deze week 4.000 euro aangeboden voor een zero-dayexploit voor een nog onbekend lek in de nieuwste Java. Het is onduidelijk of het hier om een echt lek gaat.
Afgelopen zondag kwam Oracle met een noodpatch voor een zeer ernstig beveiligingslek in Java dat op grote schaal misbruikt werd. Die patch loste slechts de helft van de problemen op, waardoor Java nog steeds kwetsbaar is voor de exploit die cybercriminelen gebruiken.
Java is op ongeveer 70 procent van alle computers wereldwijd geïnstalleerd, zo blijkt uit cijfers van StatOwl.
23 uur geleden
