Java-malware belaagt Macs via 0-day gat
Macs met alle versies van OS X zijn kwetsbaar voor een Java-exploit die al is toegevoegd aan malwarekits. Het Java-gat is op Windows allang gedicht, maar Apple moet nog patchen.
Het 0-day Java-gat op Mac OS X zit al in het arsenaal van de beruchte Flashback-Trojan. Die hardnekkige Mac-plaag kan hierdoor nu binnenkomen op OS X zonder dat eindgebruikers hun wachtwoord hoeven in te voeren om de kwaadaardige software te installeren.
Drive-by gevaar
Voorheen deed Flashback zich voor als installatieprogramma van Adobe Flash, om gebruikers ertoe aan te zetten hun OS X-wachtwoord in te voeren voor de installatie van de malware. Besmetting kan nu al gebeuren door simpelweg het bezoeken van een website waar de kwaadaardige Java-code klaarstaat, wat onlangs Nu.nl nog is overkomen.
Daarnaast is deze gloednieuwe Java-exploit ook opgenomen in cybercrime-toolkit Blackhole, meldt securityblog Contagio. Ontdekker F-Secure raadt Mac-gebruikers aan om in ieder geval de browser plug-in van Java te deactiveren.
Security-expert Brian Krebs gaat verder: hij adviseert Java geheel te deïnstalleren. Hij merkt ook op dat er voor Windows-gebruikers weliswaar een patch beschikbaar is, maar dat de kans klein is dat die is geïnstalleerd. De toevoeging van de Java-exploit aan toolkits zoals Blackhole vormt dan ook een acuut gevaar voor niet alleen Mac-gebruikers.
Traag met patchen
Windows-gebruikers en -beheerders kunnen zichzelf beschermen door hun Java-installatie te updaten. Voor Mac-gebruikers is het wachten op Java-patches van Apple, die daar in het verleden lang over heeft gedaan. De meest recente Java-patches voor OS X stammen van november vorig jaar.
Apple heeft toen updates uitgebracht voor de huidige versie Lion (10.7) en voorganger Snow Leopard (10.6). In beide gevallen ging het ook om security-fixes voor Java op die twee Apple-besturingssystemen. Sindsdien heeft het bedrijf nog wel updates voor OS X uitgebracht, maar niet voor Java. Die software is een eigen implementatie van Apple die het tot Lion heeft meegeleverd in OS X.
Stilletjes geschrapt
Eind 2010 heeft Apple al stilletjes besloten de stekker uit Java te trekken voor Mac OS X. Het bedrijf heeft voor zijn eigen besturingssysteem namelijk een eigen implementatie van het platformonafhankelijke Java, oorspronkelijk van Sun Microsystems. Eindgebruikers en developers kunnen Java nog wel zelf installeren.
Krap een maand nadat Apple had aangekondigd Java voor OS X te beëindigen, is er toch nog een overeenkomst gesloten met de huidige Java-eigenaar Oracle. Die nam de Java-code van Apple over en had voortaan de taak om Java uit te brengen voor OS X. Tot op heden is er echter nog niets verschenen.
Java 7, Mountain Lion
Het wachten is op Java 7, dat officieel al acht maanden uit is voor Windows. De officiële download op Oracle's site Java.com is echter nog van de oudere versie 6, alleen beschikbaar voor Windows. Apple verzorgt van Java 6 nog de eigen implementatie. Die verzorging loopt wel ten einde: waarschijnlijk al deze zomer.
Dan komt namelijk de volgende OS X-versie uit. Zodra Mountain Lion er is, vervalt voor Apple de zelfopgelegde verplichting om Java nog te patchen. De Mac-maker heeft als supportbeleid dat het de huidige en vorige versies van zijn besturingssysteem ondersteunt.
Bij Lion is Java al weggevallen, maar voor Snow Leopard geldt nog wel support. Bij de Java-patch van november is Lion meegenomen, maar het is de vraag of die OS X-versie nog Java-updates krijgt wanneer het eveneens Java-loze Mountain Lion uit is.