Java har fått mye kritikk for svakheter opp gjennom årene, men hullet Trend Micro påviste sist helg er første tilfelle av en nulldagssårbarhet på nesten to år.

Oracle lapper Java-nulldagshull, det første funnet på to år

Hele 193 sårbarheter blir nå fjernet.

En kritisk, tidligere ukjent Java-sårbarhet ble oppdaget sist helg.

Dette er det første tilfellet av en nulldagssårbarhet i plattformen som er avdekket på nærmere to år.

Trend Micro skriver at de gjorde funnet som ledd i sin pågående etterforskning av en målrettet, avansert angrepskampanje, døpt operasjon Pawn Storm.

Funnet blir følgelig knyttet til den samme trusselaktøren, som tidligere har angrepet NATOs medlemsland og Det hvite hus i april i år.

Hvem som står bak er uklart, men bakmennene har sendt målrettet e-post til flere militæravdelinger i et NATO-land og en amerikansk forsvarsorganisasjon, med lenker som pekte til angrepskoden. Altså en velkjent fremgangsmåte kalt spearphishing.

Nyeste versjon av Java 1.8.0.45 er berørt, men ikke de eldre utgavene Java 1.6 og 1.7, ifølge sikkerhetsselskapets analyser.

Les mer: Java fylte nylig 20 år. Her er historien

Lapper 193 sårbarheter

Få dager senere sørget Oracle for å reparere denne sårbarheten i Java.

Det skjedde i juli-pakken med sikkerhetsoppdateringer, som ble gjort tilgjengelig tirsdag denne uken.

Lappesakene fjerner i alt 193 ulike sårbarheter på tvers av en mengde av Oracles produkter. Det inkluderer 44 sårbarheter i tredjeparts komponenter.

Oracledatabasen, Fusion Middleware, Hyperion, Enterprise Manager, E-business Suite, Supply Chain Suite, Peoplesoft, Siebel, Oracle Linux and Virtualization og Oracle MySQL er blant produktene som er berørt. Her er en fullstendig liste.

I sin kunngjøring skriver Oracle at oppdateringene fikser til sammen 25 sårbarheter i Java SE.

23 av disse lar seg utnytte over et nettverk uten autentisering. Det er utgitt feilfiks både mot klientinstallasjonen og Java-plattformen for servere. Én fiks er dessuten særskilt myntet på Mac-plattformen.

Nettstedet java-0day.com har nå nullstilt telleren sin for å gjenspeile det siste funnet av en nulldagssårbarhet i Java.

Les mer: Fant nulldagshull også i nyeste Internet Explorer 11

Til toppen