Java weer lek ondanks recent dichten van 42 lekken

Onlangs is er een grote update verschenen voor Java. In deze update werden maar liefst 42 lekken gedicht in de software. Het was een ware monsterpatch, maar helaas voor Oracle, de maker van Java, is het onvoldoende gebleken. Binnen enkele dagen is er nu al een nieuw lek gemeld, waarmee de sandbox-omgeving kan worden omzeild.

Oracle heeft zich in elk geval van zijn goede kant laten zien door Java flink onder handen te nemen en maar liefst 42 gaten te dichten, waarvan er 19 kritiek waren. Helaas voor het bedrijf heeft het niet mogen baten, want opnieuw is er een lek gevonden. Beveiligingsonderzoeker Adam Gowdiak van Security Explorations heeft het nieuwe lek bekendgemaakt.

Gowdiak heeft de gegevens over het lek met al het bewijs doorgestuurd naar Oracle, zodat het bedrijf ook dit lek kan dichten. Details omtrent het lek, waar het precies zit en hoe het werkt laat Gowdiak niet weten omdat criminelen er zo misbruik van zouden kunnen maken.

Wel heeft hij laten weten dat het mogelijk is om de zogenaamde sandbox te verlaten. De sandbox, letterlijk vertaald zandbak, is een beveiligde omgeving waar alle Java-applicaties binnen moeten draaien. Op die manier kan er buiten gelimiteerde API’s om niet zomaar toegang worden verschaft tot het gehele systeem. Voor criminelen en organisaties die software misbruiken om toegang te verschaffen tot een systeem is het belangrijk dat ze uit deze sandbox kunnen breken. Daarom worden dit soort lekken meestal aangemerkt als kritiek. Het nieuwe lek is te vinden in zowel de JRE als de JDK van cliëntsystemen, maar ook in de JRE-versies die op servers draaien.

Het imago van Java is de afgelopen jaren flink onder druk komen te staan. Verschillende beveiligingsexperts uitten hun kritiek omdat Java de meest populaire software is onder criminelen om te misbruiken en toegang te krijgen tot systemen. Zo was Bitdefender van mening dat Oracle eigenlijk Java compleet opnieuw zou moeten bouwen, anderen zijn van mening dan consumenten die het vaak toch niet gebruiken, het beter kunnen verwijderen van hun systeem. Java wordt tegenwoordig niet meer voorgeïnstalleerd met de grootste besturingssystemen, wat er op zich al voor zorgt dat mensen die er nooit gebruik van maken ook niet over een Java-installatie beschikken.

Al deze lekken en het werk dat Oracle moet steken in het dichten ervan, heeft geresulteerd in het uitstellen van Java 8. Oracle heeft laten weten dat Java 8 pas in maart 2014 zal verschijnen en niet zoals gepland in september van dit jaar.

Bron:Seclists