Java-patch Apple laat kritiek gat open

Apple heeft lange tijd zijn eigen implementatie van Java gemaakt voor zijn eigen besturingssysteem Mac OS X. Eind 2010 kondigde het aan daarmee te stoppen. Het uitbrengen - en patchen - van Java voor Macs is voortaan aan Java-eigenaar Oracle, die Java-maker Sun Microsystems heeft opgekocht.

Gaten in OS X

De nieuwste versie 7 van Java, afkomstig van Oracle, heeft kritieke beveiligingsgaten, die al worden misbruikt door malwaremakers. Voor enkele van die gaten heeft de softwarereus patches uitgebracht, en daarbij ook gelijk voor de voorgaande versie 6. Apple volgt nu dat voorbeeld voor zijn eigen Java-implementatie. Voor versies 10.6, 10.7 en 10.8 van OS X is er nu een update.

Die update dicht enkele beveiligingsgaten in Java 6, maar bljikt niet de kwetsbaarheid op te lossen waar juist ophef over was. Security-expert Brian Krebs meldt dit op zijn blog. Aanvankelijk meende hij dat Apple wel degelijk het kritieke gat had gedicht waar malwaremakers al actief misbruik van maken.

Haastige spoed...

Apple verwijst in zijn release notes over de eigen Java-update wel naar een Oracle-bulletin over het bewuste gat (dat de identificatiecode CVE-2012-4681 heeft). De update van Apple dicht een ander gat (CVE-2012-0547).

Java 7 voor Macs moet handmatig worden gedownload bij Oracle, terwijl Java 6 automatisch meekomt in Apple's Software Updater. Sinds de komst van OS X 10.7 (Lion) levert Apple geen Java meer mee met zijn computerbesturingssysteem.

Met de introductie van zijn Java-noodpatch heeft Oracle echter nog een nieuwe kwetsbaarheid geïntroduceerd. Ook deze is van kritieke aard: het maakt omzeiling van de ingebouwde isolatie (sandbox) voor Java-code mogelijk. Daarmee zijn besturingssysteem waar Java op draait kwetsbaar.

Plug-in uitschakelen

Verder schakelt Apple's update standaard Java als browser plug-in uit. In het geval van OS X 10.7 (Lion) gebeurt dat automatisch als er enige tijd geen Java-applets zijn gedraaid in de browser. De plug-in wordt per direct gedeactiveerd als de vorige Java-update niet is geïnstalleerd. Die vorige update voegde al de 'uitschakelingstimer' toe.

In het geval van voorganger 10.6 (Snow Leopard), die buiten de reguliere support van Apple valt, wordt het automatisch draaien van Java door de browser direct uitgeschakeld. Het uitzetten van Java in de browser vermindert de kwetsbaarheid voor malware op websites. Die kwaadaardige code kan gebruikers besmetten doordat ze simpelweg zo'n site bezoeken.

Java verwijderen

Voor heractivering van Java in de browser kunnen gebruikers simpelweg klikken op de niet-werkende Java-applet op een website. Security-experts geven echter in toenemende mate het advies Java uit te schakelen of zelfs geheel te deïnstalleren. Oracle heeft zelf nog een reeks kritieke beveiligingsgaten te dichten, die al sinds april bij het bedrijf bekend zijn.