Apple dicht Java-gat in Mac OS X
Apple bestrijdt rondgaande malware die via een 0-day gat in Java ongezien binnendringt op Mac OS X. Het heeft een patch uitgebracht, anderhalve maand na de Java-patch voor Windows.
De patch voor Apple's eigen Java-implementatie komt in twee varianten: één voor de huidige OS X-versie Lion (10.7) en één voor voorganger Snow Leopard. Deze update voor het Mac-besturingssysteem dicht meerdere gaten in Java. De gevaarlijkste daarvan kan een malafide Java-applet eigen code laten uitvoeren buiten de quarantainezone (sandbox) van Java, schrijft Apple over de patch.
Besmetting via website
Het simpelweg bezoeken van een webpagina met daarop zo'n kwaadaardige applet is al voldoende om de kwaadaardige code uit te voeren op een Mac, erkent Apple. De malware draait dan wel met de rechten van de gebruiker die op dat moment is ingelogd.
Apple noemt in zijn release notes het bewuste Java-gat (CVE-2012-0507) waarvoor exploitcode al is toegevoegd aan rondwarende malware. Dit betreft het arsenaal van zowel de beruchte Mac-malware Flashback als de crackertoolkit Blackhole en de hackertool Metasploit. Mac OS X gaat met deze patch van Java-versie 1.6.0_29 (in de 6-reeks) naar 1.6.0_31. Laatstgenoemde is 14 februari uitgebracht door Java-eigenaar Oracle.
Apple draagt Java over
In juli vorig jaar heeft Oracle al Java 7 uitgebracht, en die ook gepatcht voor dit beveiligingsgat. Dat is op 14 februari gebeurd voor Windows, waarvoor Sun-koper Oracle de Java-implementatie verzorgt. Voor Mac OS X gebeurt dat met ingang van Java 7, dat nog niet als definiteve release is verschenen voor Apple's besturingssysteem. Een Webwereld-lezer wijst erop dat er al wel een preview release is voor developers.