Het nieuwste Java-lek dat cybercriminelen actief gebruiken om computers te infecteren en waarvoor nog geen update beschikbaar is, is veroorzaakt door de manier waarop Oracle een vorig beveiligingsprobleem probeerde op te lossen. Dat laat de Poolse beveiligingsonderzoeker Adam Gowdiak van het beveiligingsbedrijf Security Explorations aan Security.nl weten.

"De zero-day aanvalscode die in het wild is ontdekt, is weer een voorbeeld van Java beveiligingslekken die worden veroorzaakt door een onveilige implementatie van de Reflection API", merkt de onderzoeker op. De nieuwe aanval combineert volgens Gowdiak twee kwetsbaarheden.

Het eerste lek maakt het mogelijk om willekeurige 'classes' te laden. Het tweede probleem gebruikt de nieuwe Reflection API om bepaalde objecten aan te roepen. Deze code die voor het aanroepen van de objecten wordt gebruikt was al eerder onderzocht.

In augustus vorig jaar ontdekte Security Explorations een lek hierin, dat Oracle in oktober 2012 patchte. "Het blijkt dat de fix niet volledig is aangezien het nog steeds mogelijk is om deze functie te misbruiken", merkt Gowdiak op.

Paddenstoelen
De aanvalsvector die de huidige exploits gebruiken is dezelfde die Security Explorations als proof-of-concept gebruikte om het in augustus gerapporteerde beveiligingsprobleem aan Oracle te demonstreren. Ondanks de demonstratie is het probleem nog steeds aanwezig. "Dit is niet de eerste keer dat Oracle's eigen onderzoek van beveiligingsproblemen niet voldoende uitgebreid is", stelt de onderzoeker.

Gowdiak vergelijkt beveiligingslekken met paddenstoelen. "In veel gevallen zijn ze te vinden in de buurt van al eerder gevonden paddenstoelen. Het lijkt erop dat Oracle te vroeg met plukken is gestopt, of zich nog diep in het bos bevindt." De analyse van Gowdiak zal later ook op verschillende mailinglists verschijnen.

Uitschakelen
Inmiddels zwelt de roep om Java uit te schakelen of helemaal te verwijderen aan. "Java is een puinhoop. Het is niet veilig", aldus Jaime Blasco van beveiligingsbedrijf AlienVault. "Je moet het uitschakelen." Naast de Amerikaanse overheid adviseert ook de Duitse overheid om Java uit te schakelen.

In het geval Java helemaal niet meer wordt gebruikt, kunnen gebruikers de software beter helemaal verwijderen, zo stelt het Bundesamt für Sicherheit in der Informationstechnik.