Bij de huidige aanvallen tegen Java-gebruikers worden niet één, maar twee voorheen onbekende beveiligingslekken gebruikt. Onderzoekers van beveiligingsbedrijf Immunity analyseerden de Java-exploit en ontdekten dat er twee kwetsbaarheden in de software, die op 70% van alle computers is geïnstalleerd. "Het mooie van deze lekken is dat ze 100% betrouwbaarheid bieden en multiplatform zijn. Daarom zal het snel het Zwitserse zakmes voor penetratietests van de komende jaren worden", aldus Esteban Guillardoy.

"Er zijn twee verschillende zero-day kwetsbaarheden in deze exploit gebruikt: één wordt gebruikt om een referentie naar de sun.awt.SunToolkitclass te krijgen en de ander wordt gebruikt om de public getField methode voor die klasse aan te roepen. De exploit gebruikt de java.beans.Expression wat een java.beans.Statement subclass is. Er zijn twee Expression instances die worden gebruikt om deze twee verschillende bugs te triggeren", stelt Guillardoy in zijn analyse. Eén van de kwetsbaarheden zou zijn geïntroduceerd in Java 7.0, die op 28 juli 2011 verscheen.

Uitschakelen
"In Java is het mogelijk om code met beperkte rechten uit te voeren, zodat een Java applet op een site geen toegang heeft tot alle bestanden op de harde schijf. De aanvallers hebben nu een beveiligingsfout gevonden in een functie waarbij is aangegeven dat Java geen rechten-controle moet uitvoeren en ze hebben een manier gevonden om deze kwetsbare functie aan te roepen", zegt Frank van Vliet, CTO van Certified Secure.

"Hiermee kunnen de aanvallers een Java applet schijven met alle toegang tot het systeem en kan het systeem dus worden geïnfecteerd met malware." Volgens Van Vliet worden er regelmatig in Java beveiligingsproblemen gevonden en wordt het op websites steeds minder gebruikt. "Het is daarom het veiligste om Java volledig uit te schakelen in de browser."

In het geval van Google Chrome wordt Java standaard geblokkeerd en moeten gebruikers via 'click to play' eerst klikken voordat een Java applet werkt. "Chrome heeft de Flash player al voorzien van een sandbox wat ervoor zorgt dat deze geen volledige toegang tot je systeem kan hebben. Het zou mooi zijn als Google hetzelfde ontwikkelt voor Java applets, zodat de beveiliging van je computer niet meer volledig afhankelijk is van de beveiligingsfouten in Java", gaat Van Vliet verder.

Nederland
Gisteren werd bekend dat aanvallers via een gehackte advertentieserver malware op de website van Omroep West hebben verspreid. Volgens de Waarschuwingsdienst maakte de exploit gebruik van het nieuwe Java-lek. Aangezien Oracle nog geen update heeft uitgebracht, lopen alle bezoekers met Oracle Java versie 7 risico om besmet te zijn geraakt. Daarbij laat de Waarschuwingsdienst weten dat de malware op meer Nederlandse websites actief is.

Mozilla adviseert gebruikers om Java uit te schakelen, maar lijkt nog niet van plan om de plug-in voor alle gebruikers te blokkeren. In het verleden heeft de browserontwikkelaar dat wel gedaan.