Oracle patcht 50 lekken in Java

Van de 50 stoplappen in de Critical Patch Update houden er 44 verband met het gebruik van Java in webbrowsers en moeten dus zwakke plekken aan de client-kant dichten. Een kleine minderheid heeft betrekking op servers. Een deel was al eerder vrijgegeven via een tussentijds Security Alert.

IT-beveiligers adviseerden Java in browser te deactiveren

De laatste tijd zijn diverse kwetsbaarheden in Java aan het licht gekomen waar Oracle nog geen antwoord op had. Kwaadwillenden maakten daar actief misbruik van. Sommige IT-beveiligers adviseerden daarom Java in de browser maar helemaal uit te schakelen.

Volgens Oracle is Java “een aantrekkelijk doelwit voor kwaadaardige hackers” vanwege de populariteit van de Java Runtime Environment in browsers en het feit dat Java onafhankelijk is van het onderliggende besturingssysteem.

De 44 zwakke plekken die nu zijn verstevigd kunnen alleen worden uitgebuit via Java Web Start-applicaties of Java-applets, aldus Oracle in het bulletin dat de security update toelicht. Daarnaast is er één kwetsbaarheid die het installeren van de Java Runtime Environment op desktop-pc’s raakt.

Kans op aanvallen via server "zeer onwaarschijnlijk"

Verder pakt Oracle in de update 3 zwakke plekken aan die verband houden met client/server-configuraties. Aanvallers konden ze aangrijpen voor aanvallen via Java Web Start of applets in de desktopbrowser, maar ook door kwaadaardige programmacode aan applicatieprogramma-interfaces (API’s) op de server toe te dienen. Oracle tekent daar wel bij aan dat de kans op dergelijke aanvallen “zeer onwaarschijnlijk” is omdat aan allerlei voorwaarden moet zijn voldaan, bijvoorbeeld dat de server is toegestaan om beeldbestanden van een niet-vertrouwde bron te verwerken.

Nog enkele andere serverpatches hebben betrekking op kwetsbaarheden in de Java Secure Socket Extension.

Het bulletin over de update van februari is te vinden op de website van Oracle.