Het aantal beveiligingslekken in Java is vorig jaar verdubbeld en dit jaar lijkt het nog erger te worden, wat een probleem is, aangezien Java op bijna alle computers aanwezig is. Volgens Symantec zijn Java-lekken ideaal voor aanvallers, omdat het vaak om logische fouten gaat. Ze zijn niet afhankelijk van geheugencorruptie, waardoor de exploits extreem betrouwbaar zijn en geen beveiliging hoeven te omzeilen. Maatregelen zoals ASLR en DEP bieden geen bescherming, wat ook geldt voor de sandbox van Google Chrome en de Protected Mode van Internet Explorer.

"Dit zijn ontwerpfouten die beperkte Java code de Java security sandbox laten ontsnappen en in dezelfde omgeving uitvoeren waar ze voor ontworpen waren, alleen dan met volledige privileges", zegt Symantec's Adrian Pisarczyk.

Uitschakelen
Een ander probleem met Java is dat het platform en browser onafhankelijk is. Dat verklaart volgens Pisarczyk de populariteit van de technologie bij academici en opensource gemeenschappen, maar maakt het ook interessant voor aanvallers. "De aard van deze problemen maakt detectie lastig. De exploit en lading worden in gecompileerde byte code geleverd, waarvan het parsen meestal buiten de mogelijkheden van beveiligingssoftware ligt."

De virusbestrijder bekritiseert ook de patchprocedure van Oracle, die te wensen overlaat. Gebruikers en bedrijven die Java niet nodig hebben, doen er dan ook verstandig aan om het uit te schakelen. Symantec verwacht in de toekomst namelijk nog veel meer aanvallen die van Java misbruik maken.