Slechts enkele uren nadat Oracle een spoedpatch uitgebracht voor kritieke gaten in Java, ontdekten onderzoekers een nieuwe ernstige kwetsbaarheid.

Meer werk aan de winkel voor Oracle. De nieuwste patch voor een zeer gevaarlijk Java-gat was nog geen paar uur oud, of er blijkt een nieuw gat in te zitten. Dat ontdekte het Poolse Security Explorations, meldt de IDG News Service. Het securityconcern heeft de kwetsbaarheid meteen aan Oracle doorgegeven maar geeft vanwege responsible disclosure geen details over het lek.
Ontsnappen uit sandbox

Wel is duidelijk dat de nieuwe proof-of-concept exploit eveneens uit de zandbak kan ontsnappen en willekeurige code op een systeem kan uitvoeren.

Eerder deze week ontstond er een golf aan kwaadaardige exploits nadat een ernstig gat in Java bekend werd. Met de kwetsbaarheid kan een malicieuze Java-applet in de browser zelf, zonder dat de gebruiker iets doet of ziet, de permissies uitbreiden en daardoor code op het systeem uitvoeren. Er verschenen exploits voor zowel Windows als Mac en Linux.
Patch blijkt zelf lek

Onverwachts kwam Oracle met een spoedpatch, die het ene lek dicht, maar blijkbaar allesbehalve waterdicht is.

De patch heeft namelijk alleen de misbruikte aanvalsvector afgesneden, maar de onderliggende kwestbaarheid in Java bestaat nog steeds, constateert Adam Gowdiak van Security Explorations.

Het advies blijft dan ook onveranderd: de´nstalleer Java, tenzij je het echt nodig hebt.