'Oracle weet al maanden van kritiek Java-gat'

Oracle is sinds april al op de hoogte van het kritieke Java-gat dat nu op grote schaal wordt misbruikt. Een Pools securitybedrijf heeft in totaal 31 gaten gemeld, waaronder de nu geopenbaarde.

De malware die nu rondwaart om Java-gebruikers te pwnen gebruikt twee openstaande gaten in Java 7. Die allernieuwste versie van Java is dus kwetsbaar, terwijl de voorgaande versie 6 dat niet is, tenminste niet voor deze nieuwste golf malware. Het Poolse securitybedrijf Security Explorations vertelt nu aan de IDG News Service dat dit vier maanden geleden al aan Oracle is gemeld.

16 keer sandbox kraken
Op 2 april heeft Security Explorations een totaal van 19 kwetsbaarheden in Java 7 gerapporteerd aan Oracle. Het Poolse bedrijf heeft daar ook openlijk gewag van gemaakt. In de maanden daarna heeft het nog aanvullende gaten gevonden, en die netjes gemeld. In de eerste lading zaten al de twee zwakke plekken die nu voor veel ophef en onveiligheid zorgen.

Tot op heden heeft het Poolse bedrijf maar liefst 31 kwetsbaarheden ontdekt en bij Java-eigenaar Oracle ingediend. Daarbij weet de ontdekker op 16 verschillende manieren de isolatie (sandbox) van Java SE 7 (Standard Edition, wat draait op reguliere desktopcomputers) te kraken, aldus ceo en oprichter Adam Gowdiak van Security Explorations.

In oktober, en februari
Tussentijds zijn wel enkele gaten gedicht, in de update die Oracle op 12 juni heeft uitgebracht. Eind juli heeft het Poolse securitybedrijf nog bij de Amerikaanse softwarereus ge´nformeerd hoe het staat met de toen nog resterende 25 kwetsbaarheden die het had ontdekt. Oracle liet weten dat een aantal daarvan op stapel staat om in de volgende patchronde te worden gedicht, met de overige kwetsbaarheden dan in de daaropvolgende patchronde.

Volgens schema komt de Java-eigenaar op 12 oktober met zijn volgende ronde patches voor Java. Vervolgens komt vier maanden later, in februari komend jaar, weer een patchronde. Security Explorations meldt dat Oracle eind juli heeft gesteld dat de laatste van de gemelde gaten in die tweede patchronde wordt gedicht.

Nog 6 te gaan
Dat was echter vˇˇr de ontdekking van die kwetsbaarheden door malwaremakers en de daaropvolgende aanvalsgolven. Het is nog niet bekend of Oracle eerder met een noodpatch komt, of kan komen. Het bedrijf heeft op 23 augustus nog aan Security Explorations laten weten dat het werkt aan het dichten van de gaten.

Daarbij laat het los dat 19 van de nog openstaande gaten zijn gedicht in de interne code die het uitbrengt als toekomstige 'Critical Patch Update', oftewel patch. De 6 laatste 'issues' moeten nog onderzocht en gefixed worden, aldus Oracle in zijn statusupdate van vorige week aan het Poolse beveiligingsbedrijf. Het is niet bekend in welke groep de twee momenteel misbruikte kwetsbaarheden vallen.

'Geen commentaar'
Oracle hult zich in stilzwijgen over de Java-gaten en zijn plannen om die aan te pakken. Webwereld heeft de softwarefabrikant herhaaldelijk om een reactie gevraagd, maar krijgt slechts de verwijzing naar een tweetal securityblogs van Oracle. Daar wordt totnogtoe met geen woord gerept over de opgelaaide kritieke beveiligingskwestie. Mogelijk wordt er in de toekomst iets gepubliceerd op die blogs over de kwetsbaarheden en eventuele patches daarvoor.