Hacker biedt onbekende zero-day kwetsbaarheid in Java te koop aan
Een hacker biedt een ongepatchte zero-day kwetsbaarheid in Java aan voor 4.000 dollar. Het gaat om een volledig nieuw lek dat nog niet eerder aan het licht is gekomen en door Oracle dus nog niet is aangepakt.
Brian Krebson van Krebson Security meldt dat een beheerder van een cybercrimeforum een bericht online heeft gezet waarin hij zero-day kwetsbaarheid te koop aanbiedt. De hacker belooft de kwetsbaarheid uiteindelijk aan twee verschillende kopers te zullen verkopen. Geïnteresseerden kunnen vanaf 5.000 dollar, zo’n 4.000 euro, bieden op de kwetsbaarheid.
Nu al verkocht
De hacker meldt in het bericht dat het beveiligingslek inmiddels één keer is verkocht. Het bericht is inmiddels van het forum verwijderd. Het is niet duidelijk of dit betekent dat de verkopers inmiddels ook een tweede koper heeft gevonden.
Het opduiken van de nieuwe kwetsbaarheid in Java is pijnlijk voor Oracle, aangezien het bedrijf afgelopen zondag nog een ernstig beveiligingslek in Java verhielp. Dit lek gaf hackers de mogelijkheid de controle over Windows-machines over te nemen zodra de gebruiker een besmette website bezoekt.
Veiligheid van Java
Krebson stelt dan ook dat het bestaan van een andere onbekende zero-day kwetsbaarheid in Java iedere illusie die mensen mogelijk hebben over de veiligheid en beveiliging van Java op een PC van een eindgebruiker, zonder dat stappen worden genomen om de software te isoleren.
Het is niet de eerste keer dat deze situatie zich voordoet. Oracle bracht in oktober een update uit voor Java, waarna binnen enkele weten een nieuwe onbekende zero-day exploit voor de kwetsbaarheid werd verkocht. Deze deal vond plaats op hetzelfde forum als waar Krebson het nieuwe beveiligingslek heeft ontdekt.