Oracle dicht met spoed lekken in Java

De enige vereiste voor een succesvolle aanval is dat de argeloze gebruiker een speciaal ingerichte, kwaadaardige website bezoekt. Na zo’n aanval hebben de hackers vrij spel en kunnen ze de pc bijvoorbeeld laten crashen maar ook vertrouwelijke gegevens stelen.

Ene lek al zeker sinds donderdag uitgebuit

In het classificatiesysteem dat de IT-beveilingssector hanteert worden de lekken aangeduid als CVE-2013-1493 en CVE-2013-0809. De eerstgenoemde kwetsbaarheid wordt al op zijn minst sinds vorige week donderdag door cybercriminelen aangegrepen, maar waarschijnlijk was Oracle al vanaf begin februari op de hoogte van het probleem. Het beveiligingsbedrijf FireEye maakte melding van aanvallen waarbij de malware McRAT werd geïnstalleerd. MacRAT is een tooltje dat van buitenaf toegang geeft tot de geïnfecteerde pc vanaf zogeheten command & control-servers.

Patch met spoed uitgegeven na ontdekking aanvallen

Oracle was oorspronkelijk van plan dit lek tijdens zijn reguliere Java Critical Patch Update op 16 april aan te pakken. Nu hackers het lek hebben ontdekt en actief misbruiken, besloot Oracle de patch naar voren te halen. De andere kwetsbaarheid (CVE-2013-0809) wordt voorzover bekend nog niet in het wild geëxploiteerd maar wordt nu door Oracle in één moeite door dichtgesmeerd.

De kwetsbaarheden zitten in de Java Runtime Environment voor webbrowsers die nodig is om websites met Java-inhoud te gebruiken. Zelfstandige Java-applicaties voor de desktop zijn niet in het geding, evenmin als embedded Java-toepassingen en de serverversie van Java.

Dringend advies: installeer update zo snel mogelijk

Oracle adviseert gebruikers met klem om de updates zo snel mogelijk te installeren, gezien de ernst van de lekken. Na de update van Java-versie 7 beschikt de gebruiker over Java 7 Update 17 (7U17). In het geval van Java versie 6 heeft de gepatchte versie Java 6 Update 43 (6u43)

Meer informatie is te vinden in het Security Alert van Oracle.