Een paar dagen na een monsterpatch voor Java is er weer een nieuw beveiligingslek in de software ontdekt waarmee aanvallers het onderliggende systeem volledig kunnen overnemen. Vorige week verscheen Java 7 Update 21, waarmee 42 kwetsbaarheden werden opgelost. Toch is de software nog steeds niet veilig, aldus Adam Gowdiak van Security Explorations.

Gowdiak ontdekte een nieuwe kwetsbaarheid die in alle versies van Java 7 aanwezig is en waardoor het mogelijk is om uit de Java-sandbox te breken. Vanwege de nieuwe beveiligingsmaatregel in Java 7 moet een gebruiker wel toestemming geven om een kwaadaardig Java-applet uit te voeren.

Kwetsbaarheid
Sinds Java 7 Update 11 verschijnt er een waarschuwing bij ongesigneerde Java-applets. Daardoor zouden de meeste 'drive-by downloads', waarbij gebruikers stilletjes worden geïnfecteerd, tot het verleden moeten behoren. Dit scenario zou nog wel werken als aanvallers een certificaat bemachtigen om kwaadaardige Java-applets te signeren, maar de meeste applets die cybercriminelen gebruiken zijn ongesigneerd.

Volgens Gowdiak is het nieuwe lek interessant, omdat die niet alleen in de Java plug-in en Java ontwikkelsoftware aanwezig is, maar ook in de recent aangekondigde Java Server.

De onderzoeker stelt dat Security Explorations in april 2012 het eerste beveiligingslek in Java 7 rapporteerde. Inmiddels is er een jaar verstreken, "maar tot onze verrassing konden we nog steeds kwetsbaarheden vinden", aldus Gowdiak op de Full-disclosure mailinglist. Het nieuwste lek is nummer 61 op de lijst van Security Explorations.