Apple dicht grote Java-gaten in Mac OS X

Door: | 30 juni 2011 08:06

Apple

Apple dicht met een grote update gaten in Java op Mac OS X vrijgegeven. Door deze patch zijn gebruikers helemaal bij met de nieuwste versie van Java SE 6.

Apple voorziet gebruikers van Mac OS X 10.5 (Leopard) en 10.6 (Snow Leopard) van een grote update voor Java. De update omvat functietoevoegingen van de twee meest recente Java-updates van Oracle (Java SE 6 update 25 en update 26). Ook dicht Apple hiermee twaalf noemenswaardige gaten in de Java virtuele machine. Deze fixes zijn allen afkomstig uit update 26 van Oracle.

Ontsnappen uit sandbox

Apple fikst met de update in ieder geval twee kwetsbaarheden die van buitenaf zijn te misbruiken, zo meldt securityleverancier Sophos. Cybercriminelen kunnen via een malafide Java-applet toegang krijgen tot een Mac terwijl de gebruiker aan het browsen is. Het gaat daarbij om drive-by installs en drive-by executions. Bij de eerste wordt er slechts malware geïnstalleerd op de getroffen computer, in het tweede geval wordt die kwaadaardige software ook uitgevoerd.

Met de kwetsbaarheden die in deze update gedicht worden, is het namelijk mogelijk om code in een Java-applet te laten ontsnappen uit de veelgeprezen sandbox van Java. Dat het mogelijk is om daar uit te breken, betekent dat onbetrouwbare applets van buitenaf zich kunnen gedragen als lokale Java-apps. Laatstgenoemde programma's zijn wel vertrouwd en mogen dus meer doen op de computer. Dit beveiligingsgat kan dus desastreuze gevolgen hebben.

Snelle update

Gebruikers van Mac OS X zijn met deze update in één keer bij met de nieuwste Java-update van Oracle. Het bedrijf bracht die op 7 juni uit. Een update binnen drie weken is voor Apple-begrippen relatief snel. Bij de updates die de Mac-maker zelf uitbrengt duurde het soms een half jaar voordat Apple op gelijke hoogte was met de reguliere versie van Java. In de tijd dat Oracle (en voorganger Sun) elf updates voor Java uitbracht, heeft Apple er bovendien slechts zes uitgebracht.

Het is niet voor het eerst dat Apple snel een update voor Java uitbrengt. In maart van dit jaar gebeurde dat ook al, toen werden Mac-gebruikers gelijkgetrokken met de Oracle-update van februari. De Java-update voor OS X van daarvoor kwam echter in oktober uit en bracht de Oracle-patches van juli. Mogelijk dat de snellere updates te maken hebben met de betere verstandhouding tussen Apple en Oracle.

Laatste update voor Leopard?

De Mac-maker besloot eind vorig jaar dat het Java vanaf Mac OS X Lion (10.7) niet langer meelevert met zijn besturingssysteem. Kort daarop droeg Apple de ontwikkeling van Java voor OS X over aan Oracle. De twee bedrijven zouden voortaan samenwerken voor Java in toekomstige versies van Mac OS X. Mogelijk plukt Apple daar nu al de vruchten van, gezien het snelle uitbrengen van de nieuwste patches.

Deze Java-update zou overigens goed de laatste kunnen zijn die ooit uitkomt voor Mac OS X Leopard (10.5). Mac OS X Lion (zonder Java) komt namelijk in juli uit en Apple staat erom bekend alleen de huidige en vorige versie van OS X te voorzien van updates. Dat betekent dus dat Snow Leopard nog wel updates krijgt, waarschijnlijk ook voor Java al is dat nog onduidelijk. Het kan ook zijn dat gebruikers van die OS X-versie voortaan Java als aparte download van Oracle moeten installeren.