Oracle heeft afgelopen nacht een noodpatch uitgebracht voor het zeroday-gat in Java. Oracle gooit het roer radicaal om en voortaan moeten gebruikers onbekende applets zelf activeren.

De nieuwste update voor Java verandert de beveiligingsinstellingen automatisch naar 'hoog', waardoor Java-applets niet langer automatisch worden gestart. Het vorige week opgedoken zeroday-gat wordt ook gedicht. Oracle benadrukt dat het gat alleen de browser plug-in van Java 7 lijkt te treffen.
Java-elementen aanklikken

Met de update worden applets niet langer automatisch gestart, maar moet een gebruiker toestemming geven om de content uit te voeren. Dit maakt een einde aan de drive-by-methode, waarbij internetters niet eens beseffen dat er iets wordt uitgevoerd. Cybercriminelen moeten nu weer via social engineering websitebezoekers ervan overtuigen het Java-element te activeren.

Java is een populair doelwit van malwareverspreiders, juist omdat content automatisch wordt afgespeeld in de browser. Ook in voorgaande jaren werden er kritieke gaten ontdekt in Java. Beveiligingsexperts waarschuwen gebruikers al jaren om de Java plug-in in browsers simpelweg uit te schakelen.
Java eenvoudig uitzetten

Met de update gooit Oracle het roer om en streeft naar een actievere bescherming van gebruikers om de kritiek op het automatisch uitvoeren te pareren. Een andere nieuwe feature is dat het nu eenvoudig is om vanuit het configuratiepaneel de Java plug-in direct in of uit te schakelen.

Oracle benadrukt dat het lek alleen de plug-in voor browsers treft en de rest van het Java-platform ongemoeid laat. Een beveiligingsexpert laat persbureau Reuters weten dat andere kritieke gaten open blijven staan na de update, maar het artikel noemt verder geen details. Oracle heeft ook nog niet op de analyse van de deskundige gereageerd.