3min

Twee weken geleden werden er voor de zoveelste keer ernstige lekken in Java ontdekt, hierop adviseerden verschillende beveiligingsbedrijven en de Amerikaanse overheid, om Java gewoon te verwijderen van je computer. Voor Oracle, de eigenaar en maker van Java, reden genoeg om in te grijpen. Het bedrijf besloot de standaardbeveiligingsinstellingen op te schroeven naar het allerhoogste niveau. Hierdoor zou de gebruiker voor elke Java-applet die wordt geladen in de browser toestemming moeten verlenen, wat de software een stuk veiliger maakt. Tot vandaag dan, nu bekend is geworden dat er een nieuw lek is waardoor deze beveiliging omzeild kan worden.

Het zit Oracle niet bepaald mee. Sinds het Sun Microsystems overnam en daarmee Java in handen kreeg, is de software een echt probleemkind geworden. De software heeft inmiddels ook de ‘eervolle’ titel om de meest populaire applicatie te zijn onder malwaremakers, om te misbruiken. In het verleden werden er al meerdere Java-lekken gevonden en ook actief misbruikt. Oracle reageerde hier niet altijd even adequaat op, soms liet een patch om de lekken te dichten echt te lang op zich wachten.

Eerder deze maand werd Oracle min of meer gedwongen om echt actie te ondernemen, omdat het weer zover was en veel beveiligingsexperts zich extreem negatief uitlieten over de Java-software. Het bedrijf besloot daarop een update uit te brengen die de standaardbeveiligingsinstellingen van Java flink opschroefde. Het grootste probleem ligt namelijk niet in Java, de programmeertaal, maar in de Java-software die verantwoordelijk is voor het uitvoeren van Java-webapplicaties in de browser. Wat men weer niet moet verwarren met Javascript, dit is iets totaal anders.

Onderzoeker Adam Gowdiak ontdekte na de laatste patch van Oracle alweer twee nieuwe lekken in Java, maar daar is nu een derde bijgekomen. Dat derde lek is echter zeer ernstig, want met dit lek zijn de nieuwe strenge beveiligingsinstellingen die Oracle recent heeft ingevoerd te omzeilen. Via dit lek kan een zogenaamde drive by-aanval worden uitgevoerd. Dit betekent dat de gebruiker alleen maar een verkeerde website of een besmette website moet bezoeken om zelf besmet te raken. De gebruiker hoeft verder geen enkele keer een akkoord te geven, of ergens op te klikken om de malware te activeren. Een bezoek is voldoende om geïnfecteerd te raken.

De nieuwe beveiligingsinstellingen hebben hiermee slechts twee weken effect gehad. Oracle zal nu opnieuw met een oplossing moeten komen, en snel ook. De beveiligingsbedrijven zullen hierover ongetwijfeld opnieuw veel kritiek hebben en genadeloos zijn in hun adviezen.

Gowdiak zegt over het nieuwste lek: "We ontdekten een nieuw lek (issue 53) en hiermee kan ongetekende Java-code succesvol worden uitgevoerd op een Windows-systeem, ongeacht welke beveilingingsinstelling wordt gebruikt. Gebruikers die Java nodig hebben in hun browser, moeten vertrouwen op click-to-play-software die diverse browserfabrikanten implementeren om het risico te verkleinen." Browsers zoals Chrome en Firefox blokkeren automatisch de verouderde plug-ins.

Milton Smith, die bij Oracle de leiding heeft om de veiligheid van Java te verbeteren, heeft inmiddels laten weten dat er alles aan gedaan wordt om Java veiliger te maken en dat er ook beter gecommuniceerd zal worden over Java.