Java, dat de afgelopen tijd kampte met diverse beveiligingsproblemen, bevat mogelijk nog een beveiligingsprobleem. Op een cybercrime-forum zou een exploit voor het nog onopgeloste probleem zijn aangeboden. Of die claim klopt, is onbekend.
Beveiligingsjournalist Brian Krebs schrijft op zijn weblog dat op een 'exclusief cybercrimeforum' een administrator een exploit voor een zero day-beveiligingsprobleem te koop heeft aangeboden. De beheerder zei de exploit aan maximaal twee mensen te willen verkopen, tegen een prijs van 5000 dollar. Inmiddels is het topic verwijderd, wat er volgens Krebs op kan wijzen dat beide kopers zijn gevonden.
Details over het beveiligingsprobleem zijn onbekend, net als de implicaties van de bug. Het is op dit moment niet te zeggen of de claims van de beheerder kloppen. Het gebeurt vaker dat beveiligingsproblemen in software op de zwarte markt via fora worden verhandeld. Vooral zero day-problemen, die nog niet gepatcht zijn en vaak nog zelfs nog niet eens bekend zijn bij de ontwikkelaar van software, gaan voor veel geld van de hand.
Het zou de zoveelste keer in korte tijd zijn dat Java met een beveiligingsprobleem kampt. Maandag bracht Java-ontwikkelaar Oracle nog een patch uit die een eerder beveiligingsprobleem moest oplossen, maar volgens een beveiligingsbedrijf heeft de patch het probleem niet opgelost. Het afgelopen halfjaar kampte Java met diverse beveiligingsproblemen. Beveiligingsdeskundigen raden gebruikers aan om de software te verwijderen. Verouderde versies van Java worden door Firefox en Safari geblokkeerd.
Exploit kits zoals BlackHole gebruiken beveiligingsproblemen in plug-ins als Java om malafide software te installeren op computers van nietsvermoedende internetters. De software wordt bijvoorbeeld verspreid door advertentienetwerken te infecteren of in te breken op webservers, zoals bij NU.nl en De Telegraaf gebeurde. Met behulp van de exploit kits kunnen bijvoorbeeld banktrojans worden geïnstalleerd. Zulke trojans kunnen internetters geld afhandig maken.