2min

Onderzoekers hebben een nieuw lek in de recent uitgebrachte Java 7-update ontdekt waarmee aanvallers complete controle over de computer kunnen overnemen.

Het lek is aanwezig in Java 7 Update 7, de noodpatch die Oracle donderdag uitbracht om een ander kritiek lek uit te brengen, en stelt een aanvaller in staat om uit de sandbox van Java te breken. Het Poolse team dat het lek heeft ontdekt heeft al een proof-of-concept geschreven die bewijst dat het lek echt bestaat.

"Het ontdekken van de het lek duurde 2-3 uur.", zo schrijft Adam Gowdiak, CEO van het Poolse Security Explorations dat het lek ontdekte, naar Ars Technica. "We deden het gisteren in de avond. De ontdekking werd gedaan als gevolg van het handmatig analyseren van Java-code." Gowdiak wilde niet ingaan op de technische details van het lek, omdat hij bang is dat aanvallers die informatie in handen krijgen en het lek gaan misbruiken.

Oracle wilde niet reageren, maar refereerde alleen naar het artikel waarin de oude lekken, die verholpen zijn in de noodpatch, staan beschreven. Het bedrijf reageerde niet op de informatie dat dat artikel nog voor de ontdekking van dit nieuwe lek gepubliceerd is.

De aanvallen van deze week en het gebrek aan reactie van Oracle – Oracle was gedurende 4 maanden op de hoogte van de lekken, maar patchte niet – doet opnieuw de roep om Java van zo veel mogelijk computers te verwijderen stijgen. Hoewel Java door nog veel software vereist wordt, doen gebruikers er goed aan de browserplug-ins van Java uit te schakelen.

Overigens moet een aanvaller wel gebruikmaken van nog een ander lek om de controle over de computer over te nemen.