Patch Java Oracle mengandung lubang baru, peneliti memperingatkan

Peneliti dari Security Explorations, sebuah firma penelitian kerentanan berbasis Polandia, mengklaim telah menemukan dua kerentanan baru di Java 7 Update 11 yang dapat dimanfaatkan untuk mem-bypass perangkat lunak kotak pasir keamanan dan mengeksekusi kode arbitrer pada komputer.

Oracle merilis Java 7 Update 11 Minggu lalu sebagai pembaruan keamanan darurat untuk memblokir eksploitasi zero-day yang digunakan oleh penjahat cyber untuk menginfeksi komputer dengan malware.

Security Explorations berhasil dikonfirmasi bahwa penguraian sandbox keamanan Java lengkap masih dapat dilakukan di bawah Java 7 Update 11 (JRE versi 1.7.0_11-b21) dengan mengeksploitasi dua kerentanan baru yang ditemukan oleh Peneliti perusahaan, Adam Gowdiak, pendiri perusahaan, mengatakan Jumat dalam pesan yang dikirim ke milis Pengungkapan Penuh. Kerentanan dilaporkan ke Oracle pada hari Jumat, bersama dengan kode proof-of-concept mengeksploitasi kerja, katanya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Menurut kebijakan pengungkapan Eksplorasi Pengamanan, rincian teknis tentang kerentanan tidak akan diungkapkan kepada publik sampai vendor mengeluarkan patch.

Kerentanan yang tidak terkait

Peneliti dari perusahaan keamanan Imunitas yang menganalisis eksploit yang digunakan oleh penjahat dunia maya sejak minggu lalu menyimpulkan bahwa itu juga menggabungkan dua kerentanan untuk mencapai sandbox Java melarikan diri. Namun, mereka kemudian mengatakan dalam posting blog bahwa Java 7 Update 11 hanya ditujukan kepada salah satu dari mereka dan memperingatkan bahwa jika penyerang menemukan kerentanan lain untuk menggantikan yang ditambal, eksploitasi baru dapat dibuat.

Kerentanan yang ditemukan oleh Explorations Keamanan adalah terpisah dari yang tersisa unpatched oleh Oracle di Java 7 Update 11, Gowdiak mengatakan Jumat melalui email.

Beberapa peneliti keamanan, termasuk yang dari US Computer Emergency Readiness Team (US-CERT), terus menyarankan pengguna untuk menonaktifkan Java browser plug-in meskipun rilis Java 7 Update 11, mengutip kekhawatiran bahwa serangan serupa mungkin terjadi di masa depan.

"Pasti ada sesuatu yang mengkhawatirkan mengenai kualitas kode Java SE 7," kata Gowdiak. Ini bisa menunjukkan kurangnya program Siklus Hidup Aman Pembangunan yang tepat untuk Java atau beberapa masalah lain yang bersifat internal untuk Oracle, katanya.

Yang mengatakan, fakta bahwa Java 7 Update 11 meminta konfirmasi pengguna sebelum mengizinkan applet Java menjadi dieksekusi di dalam browser jelas merupakan langkah ke arah yang benar dan dapat memblokir banyak serangan, kata Gowdiak.