Advies: Schakel onveilig Java in browser uit

Een succesvolle aanval geeft kwaadwillenden vrij baan om via internet naar believen programmacode te installeren op een aangevallen pc. De gebruiker hoeft er alleen toe worden verleid een speciaal vormgegeven website te bezoeken. Het gevolg is dat heimelijk malware op de pc wordt geïnstalleerd.

Geen enkele pc of Mac met Java 7 is veilig

Door het lek kan een niet-vertrouwde Java-applet verhoogde privileges krijgen zonder dat ondertekende code vereist is. Alle versies van Oracle Java 7 update 10 en ouder zijn kwetsbaar. Door de aard van de kwetsbaarheid is volgens experts in principe geen enkele pc of Mac met Java 7 veilig. De oudere versie Java 6 heeft geen last van het probleem.

In de waarschuwing zegt US-CERT dat het niet bekend is “met een praktische oplossing voor dit probleem”. Vandaar het advies om Java dan maar helemaal uit te schakelen in de instellingen van de browser. In een blog van IT-beveilingsbedrijf Avira wordt uitgelegd hoe dat moet.

Ook aanval via bepaalde Windows-applicaties mogelijk

US-CERT wijst erop dat in Windows ook bepaalde applicaties die gebruikmaken van Internet Explorer voor het weergeven van webinhoud kwetsbaar zijn. Dit geldt onder meer voor Microsoft Office en Windows Desktop Search.

Een onafhankelijke onderzoeker die zich bedient van het alias Kafeine meldde het lek vorige week bij US-CERT maar maakte het bestaan ervan ook meteen openbaar op zijn blog. Dat is een omstreden handelwijze omdat cybercriminelen hierdoor ‘zero-day exploits’ kunnen ontketenen zolang geen patch beschikbaar is.

Cybercriminelen wisten al langer van het lek

Volgens beveiliger Jaime Blasco van AlienVault Labs waren veel cybercriminelen echter al langer op de hoogte van de kwetsbaarheid. Hij leidt dat af uit het feit dat minstens vier malware-kits al een verwijzing naar de zwakke plek in Java bevatten.

Details over de kwetsbaarheid staan in de kennisbank van US-CERT.