Op de dag dat Oracle een noodpatch voor twee ernstige Java-lekken uitbracht laat een Poolse beveiligingsonderzoeker weten dat hij vijf nieuwe problemen in de software heeft ontdekt waardoor aanvallers kwetsbare systemen kunnen overnemen. Adam Gowdiak liet vorige week al weten dat zijn bedrijf Security Explorations twee nieuwe kwetsbaarheden in Java had gevonden.

Oracle zou één van deze problemen hebben ontkend, waarop Security Explorations opnieuw naar de code van Java SE 7 besloot te kijken. Niet alleen blijkt de beoordeling van Oracle niet te kloppen, er werden ook vijf nieuwe beveiligingsproblemen ontdekt. Het gaat om 'security issues' 56 t/m 60. Het combineren van deze kwetsbaarheden zorgt ervoor dat een aanvaller uit de Java-sandbox weet te breken.

Oracle
Gowdiak laat op de Full-disclosure mailinglist weten dat de problemen in Java 7 Update 15 aanwezig zijn. Het is nog onbekend wat het uitbrengen van de noodpatch voor deze lekken betekent. Twee van de vijf gevonden problemen zouden mogelijk ook in Java 6 aanwezig zijn. Aangezien de ondersteuning van deze versie zal stoppen, besloten de onderzoekers dit niet verder uit te zoeken.

De exploit die Gowdiak ontwikkelde zorgt ervoor dat een aantal van de maatregelen die Oracle de afgelopen maanden introduceerde om de veiligheid van Java te vergroten worden omzeild. Inmiddels is Oracle weer ingelicht en van alle informatie voorzien.

Lekken
Eén van de problemen die Oracle gisteren via een noodpatch dichtte was al sinds 1 februari bij het bedrijf bekend. Oorspronkelijk zou deze kwetsbaarheid op 16 april worden verholpen, maar vanwege de recente aanvallen besloot het bedrijf tot een noodpatch over te gaan. De noodpatch verhelpt in totaal twee lekken, die door verschillende onderzoekers zijn ontdekt.

In de waarschuwing voor één van de lekken bedankt Oracle een anonieme beveiligingsonderzoeker die het lek via het TippingPoint's Zero Day Initiative rapporteerde, alsmede axtaxt via Tipping Point's Zero Day Initiative, Darien Kindlund van FireEye, Vitaliy Toropov via iDefense en Vitaliy Toropov via TippingPoint.

Zowel iDefense als Tipping Point betalen onderzoekers voor het vinden van beveiligingslekken. In dit geval werd het lek ook door hackers ontdekt die het voor aanvallen op organisaties gebruikten. "Het is niet de eerste keer dat we zero-day-lekken in het wild misbruikt zien worden die eerder aan handelaren in zero-day-lekken zijn gerapporteerd", aldus onderzoeker Eric Romang.