Onaangekondigd heeft Oracle drie spoedpatches uitgebracht voor onder meer een enorm lek dat actief wordt misbruikt op Windows, Mac en Linux pc's.

Onverwachts komt Oracle toch met een noodpatch voor meerdere kritieke lekken in Java. Iedereen wordt met klem aangeraden om zo snel mogelijk de update te downloaden en installeren. Door het lek kan een Java-applet in de browser zelf zijn permissies opschalen om op computers code te lezen, schrijven en uit te voeren.

Explosie aan expoits
De afgelopen week was er een explosie aan exploits, zowel voor Windows, maar ook voor Mac en Linux. Het Delftse securitybedrijf Fox-IT meldt dat er ook een variant in omloop is die gebruik maakt van kwaadaardig JavaScript om code in de virtuele machine van Java te laden. Deze versie blijkt al ruim een week ouder dan de eerder deze week gerapporteerde malware-varianten.

Donderdag bleek dat het Pools bedrijf Security Explorations Oracle al in april op de hoogte had gesteld van maar liefst 19 kwetsbaarheden in Java, waaronder de gaten die nu worden misbruikt worden om trojans te installeren. Een daarvan is banking trojan Hermes, een Citadel-variant die gerelateerd is aan Dorifel.

Veel gaten nog steeds open
Het is niet duidelijk waarom Oracle zo lang heeft gewacht met een patch. Overigens staat de overgrote meerderheid van de in april gemelde Java-gaten nog steeds open. De volgende reguliere patchronde voor staat voor 12 oktober gepland.