Falende patch legt jarenoud lek in Java weer open

Het lek werd in 2012 ontdekt en bij Oracle gemeld door onderzoekers van de Poolse beveiliger Security Explorations. Oracle bracht er in oktober 2013 een patch voor uit. Diezelfde beveiligers melden nu dat de patch die Oracle daarvoor ontwikkelde niet werkt. Met een verandering in de proof-of-concept exploit code kan de patch eenvoudig omzeild worden, meldt het bedrijf. Dat werkt ook in de nieuwste versie van Java, zo blijkt uit testen van de onderzoekers. Daarbij gaat het om Java SE 7 Update 97, Java SE 8 Update 74 en Java SE 9 Early Access Build 108.

De beweringen van Oracle bij de presentatie van de patch in 2013 blijken bovendien niet te kloppen. Het bedrijf stelde toen dat het lek alleen misbruikt kon worden via "sandboxed Java Web Start-applicaties en sandboxed Java-applets. Dat klopt niet, zegt Security Explorations nu. "Het kan ook misbruikt worden in een server-omgeving en in Google App Engine for Java", laat de beveiliger weten.

Security Explorations heeft Oracle niet officieel op de hoogte gebracht van het feit dat de patch niet werkt voordat het hiermee naar buiten kwam. Dat was tot nu toe wel de normale gang van zaken volgens de 'responsible disclosure'- regels die gelden in de securitywereld. Dat is bewust beleid, laat het bedrijf weten. Het publiek wordt voortaan onmiddellijk ingelicht over niet functionerende patches voor lekken die het bedrijf al gemeld heeft aan leveranciers. "Slechte patches tolereren wij niet meer", laat het weten.

Of en wanneer Oracle met een patch voor deze patch komt, is niet bekend.

Het bedrijf trof vorig jaar een schikking met de Amerikaanse overheid over misleidende Java-updates.