Kwetsbaarheid in laatste Java-update maakt opnieuw drive-by aanvallen mogelijk
Oracle introduceert in zijn laatste Java-update een oplossing die gebruikers moet beschermen tegen zogeheten ‘drive-by-malware’. Beveiligingsonderzoeker Adam Gowdiak waarschuwt echter dat ook in de meest actuele versie van Java gebruikers nog steeds kunnen worden besmet met malware door enkel een besmette website te bezoeken.
De laatste update van Java biedt verschillende beveiligingsniveau’s, waarmee Java-applets niet langer automatisch wordt afgespeeld. Gebruikers krijgen voordat Java-content wordt afgespeeld de vraag voorgelegd of zij dit willen toestaan. Dit moet de browser veiliger maken en drive-by-aanvallen onmogelijk maken.
Nieuwe kwetsbaarheid
Gowdiak waarschuwt echter dat Oracle’s maatregelen niet voldoende zijn om gebruikers te beschermen. “We hebben een nieuwe kwetsbaarheid (Issue 53) aangetroffen die ongetekende Java-code succesvol kan afspelen op een Windows-systeem, ongeacht welk beveiligingsniveau in het Java Control Panel is geselecteerd. Onze Proof of Concept-code toont dat Issue 53 succesvol is uitgevoerd op de laatste Java SE 7 Update 11 (JRE versie 1.7.0_11-b21) op Windows 7 met ‘Very High’ als beveiligingsniveau”, zegt Gowdiak in een blogpost.
De beveiligingsonderzoeker stelt dat gebruikers die Java in een webbrowser nodig hebben moeten vertrouwen op click-to-play-software die door verschillende browserfabrikanten in hun producten is verwerkt om het risico op een stille installatie van malware te verkleinen.
