Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » OS & kernel » Windows » Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen

Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen

Door Arnoud Wokke, zaterdag 10 april 2010 13:37, views: 21.058

Een lek dat al jaren aanwezig is in Java maakt Windows-pc's kwetsbaar voor aanvallen van hackers. Het lek zit in het Java Web Start-framework, waarmee ontwikkelaars via een url Java-applicaties kunnen installeren en draaien.

Java Web Start controleert parameters die via een commandline worden ingegeven niet. Via tags op een html-pagina kan een hacker die parameters aansturen, waardoor een gebruiker gehackt kan worden doordat hij een site bezoekt die een voor dit doel geschreven code bevat.

De plugin Java Web Start uitzetten helpt niet, omdat de toolkit apart wordt geïnstalleerd, aldus Tavis Ormandy, een van de onderzoekers die het lek ontdekte. Sun is op de hoogte van het lek, maar vond het niet belangrijk genoeg om een aparte patch uit te brengen. Het lek zal worden gedicht in de volgende patchronde. Sun Microsystems, de ontwikkelaar van Java, brengt elk kwartaal patches uit.

Het lek treft alle Windows-versies en veel gangbare browsers, waaronder Internet Explorer, Firefox en Chrome, schrijft beveiligingsbedrijf Kaspersky Labs. Voorwaarde is uiteraard wel dat Java is geïnstalleerd. Mac OS X-computers worden niet getroffen. Ook computers met Linux hoeven niet te vrezen voor deze kwetsbaarheid, aldus een andere onderzoeker die het lek eveneens ontdekte.

Het is onduidelijk wat een hacker precies kan doen door deze exploit te gebruiken. De onderzoekers willen daar niet diep op ingaan, maar hebben wel een demonstratie online gezet van een internetpagina waarmee het lek misbruikt kan worden.

Volgende 14:42 'Apple wil tirannieke controle over ontwikkelaars' - update
Vorige 12:29 Twitter koopt Tweetie en maakt het gratis beschikbaar
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 92 reacties zichtbaar920 Off-topic / Irrelevant: 83 reacties zichtbaar83+1 On-topic: 51 reacties zichtbaar51+2 Informatief: 0 reacties zichtbaar0+3 Spotlight: 0 reacties zichtbaar0
«  1  2  3  »

Door Ewietje, zaterdag 10 april 2010 13:39

Score: 1
en hoe gevaarlijk kunnen die Java-applicaties zijn dan? Het lijkt me dat je om schade toe te brengen of gegevens te checken meer nodig hebt...

Door the_shadow, zaterdag 10 april 2010 15:31

Score: 1
Je kan vanuit Java prima calls doen naar native libraries. Je kan het dus zo gevaarlijk maken als je zelf wil. Eenmaal gedownload, kan een java applicatie zelf weer andere dingen downloaden en die uitvoeren.

Door KingOfDos, zaterdag 10 april 2010 15:35

Score: 1
en hoe gevaarlijk kunnen die Java-applicaties zijn dan?
In theorie is het aardig veilig.
Het lijkt me dat je om schade toe te brengen of gegevens te checken meer nodig hebt...
Benodigdheden voor exploit via browser: Lekke (Java / Flash / PDF / browser / whatever) client.

Je maak je een pagina met wat HTML (misschien wat JavaScript, CSS. of gebruik maken van plugins ala Java / Flash / etc). Hierna breek je in bij een banner-boer, om je exploit te plaatsen.
De gebruiker naar nu.nl, tweakers.net of andere website waar ze banners van een gehackte banner-boer weergeven. En zonder waarschuwing heb je spyware / adware / .... op je computer.

Of ze doen wat social engineering (telefonisch en/of per e-mail) waardoor je op een linkje klikt. Zolang het resultaat maar is dat de 'gebruiker' (slachtoffer) een pagina opent met een exploit.

Is het nou zo moeilijk te begrijpen voor mensen op tweakers? Waar is het niveau?
NoScript geeft een vals gevoel van veiligheid, als je een domein standaard toestaat omdat je de site vertrouwd, kunnen mensen vanaf dat domein vervolgens een aanval uitvoeren.
NoScript 'faalt' met stellen van een whitelist. Dit is altijd per domein een complete whitelist. Waarom niet per 'vinkje' (silverlight, flash, javascript, java) in de configuratie? (zodat je op een website b.v. enkel JavaScript kan allowen, en Flash en Java b.v. niet).

Perfecte beveiliging bestaat niet.

[Reactie gewijzigd door KingOfDos op zaterdag 10 april 2010 15:40]

Door Adrianb, zondag 11 april 2010 21:56

Score: 1
Zou het ook mogelijk zijn om op een domein scripts van derden te blocken, zonder dat domein zelf te blocken?
Voorbeeld: Ik laat alles toe op Tweakers.net behalve scripts afkomstig van bannerads van bijv. doubleclick of iets dergelijks.

[Reactie gewijzigd door Adrianb op zondag 11 april 2010 21:56]

Door wootah, zaterdag 10 april 2010 13:40

Score: 1
Ja lekker dan...

gelukkig dat kaspersky het heeft gevonden, want er draaien toch best een groot aantal dingen via de web-java framework.

Door JUDGExKTF, zaterdag 10 april 2010 16:00

Score: 1
want er draaien toch best een groot aantal dingen via de web-java framework.
Volgens mij haal je hier wat begrippen door elkaar. Het artikel gaat over Java Webstart. Java Webstart is een deployment tool voor Java Applicaties over het web (de naam impliceert het ook enigsinds :) ). Ik denk dat je bedoelt dat de installed base van de Java Runtime redelijk groot is ? Java Webstart is als deployment tool namelijk nooit echt groots doorgebroken.

Tevens denk ik dat als je tegen een Java ontwikkelaar zegt 'web-java framework' hij aan een Server Side Java Web oplossing moet denken zoals JSF, JSP, GWT, Servlets, etc. Dit lek heeft absoluut niks te maken met dergelijk frameworks of Server Side Java in het algemeen.

Door SuperDre, zaterdag 10 april 2010 17:22

Score: 1
mwa, denk dat tegenwoordig de installed userbase voor de Java runtime toch behoorlijk is.. En als die runtime dus geinstalleerd is kan het 'probleem' zich voordoen. Kijk maar als je bv OpenOffice gebruikt, dan heb je ook de java-runtime (dat is dan een voorbeeld die 'dummies' misschien herkennen)..

Door GrooV, zaterdag 10 april 2010 17:34

Score: 1
Ja maar dit gaat over Java Web Start (Microsoft heeft ook zoiets voor .net) en niet over het normale framework

Door SPee, zaterdag 10 april 2010 22:53

Score: 1
Bij het installeren van de runtime komt deze veelal ook mee.
Verschil is de .exe die wordt gestart. Deze zitten echter in dezelfde bin directory :)

Door wootah, zaterdag 10 april 2010 20:24

Score: 1
Uh, daar had ik het nou juist over. :+

Ik gebruik er toch een aantal dingen van, maar je ziet het idd niet zo veel als flash :P
Tevens denk ik dat als je tegen een Java ontwikkelaar zegt 'web-java framework' hij aan een Server Side Java Web oplossing moet denken zoals JSF, JSP, GWT, Servlets, etc. Dit lek heeft absoluut niks te maken met dergelijk frameworks of Server Side Java in het algemeen.
gelukkig praat ik niet met java ontwikkelaars, en doe ik zelf alles mooi in c... voor de echte bikkels :Y)

Door JUDGExKTF, zondag 11 april 2010 00:11

Score: 1
Uh, daar had ik het nou juist over. :+
gelukkig praat ik niet met java ontwikkelaars
Met wie je ook praat, het is geen 'web-java framework', punt. Het is niet eens een framework. Het is een deployment tool voor Java applicaties.

Er zit wel een flink verschil tussen een framework en een tool. Een framework zou impliceren dat Java Webstart iets is wat je bij het programmeren van een Java applicatie gebruikt, wat dus niet het geval is.

Ik kan je vast voor zijn als je zegt: "Maar in de Wikipedia staat:"
In computing, Java Web Start (also known as JavaWS or javaws) is a framework developed by Sun Microsystems..."
Dat een fout is in de wiki. Kijk maar in de officiële documentatie: http://java.sun.com/javas...rsguide/overview.html#jws
Java Web Start is a helper application that gets associated with a Web browser.
En als je de offiecle docs niet gelooft kan ik daar nog wel aan toevoegen dat ik genoeg met webstart gedaan om te weten dat het geen framework is.

[Reactie gewijzigd door JUDGExKTF op zondag 11 april 2010 00:12]

Door jj71, zondag 11 april 2010 01:40

Score: 1
gelukkig praat ik niet met java ontwikkelaars
Vandaar dat je niet weet waar je over praat...

Java Web Start wordt nauwelijks gebruikt op websites.

Door happytweaker, zondag 11 april 2010 11:09

Score: 0
Java Webstart is een deployment tool voor Java Applicaties over het web (de naam impliceert het ook enigsinds).
Oei-oei-oei... Blijkbaar heeft JUDGExKTF zich nooit afgevraagd wat het woord enigszins betekent, want wie de betekenis snapt, zal het woord niet snel verkeerd schrijven.

Door BLRacing, zaterdag 10 april 2010 13:44

Score: 0
Javascript uitschakelen in de browser een optie dan totdat er een goede fix voorhanden is? Niet dé oplossing natuurlijk.

[Reactie gewijzigd door BLRacing op zaterdag 10 april 2010 13:46]

Door LoloftheRings, zaterdag 10 april 2010 13:45

Score: 0
javascript is geen java. Je moet dus java uitschakelen.

Door hellfighter87, zaterdag 10 april 2010 14:02

Score: 0
als je ajvascript disabled, draaien ook java apps niet meer ;)

Door compufreak88, zaterdag 10 april 2010 14:18

Score: 1
Java wordt door een browserplugin geladen, heeft niks met Javascript te maken.

Door TargetX, zaterdag 10 april 2010 16:15

Score: 0
Dat is dus echt niet waar.

Door Mr_gadget, zaterdag 10 april 2010 13:46

Score: 1
Dit gaat om Java niet javascript.

Door Helmore, zaterdag 10 april 2010 13:47

Score: 1
Dit heeft volgensmij niks met Javascript te maken. Dit gaat over heel wat anders.

Door groentensoep, zaterdag 10 april 2010 13:51

Score: 1
Dit heeft niets met JavaScript te maken.

Javascript is een scripting taal die binnen een browser wordt geexecuteerd. Waar java applicaties gecompileerd dienen te worden en dmv een interpreter (die dus ergens kwetsbaar blijkt te zijn) draaien.

Door Rvanlaak, zaterdag 10 april 2010 14:07

Score: 1
Compileren doen we dmv een compiler, interpreteren dmv een parser. Overigens zijn de Java apps al gecompiled wanneer deze door de browser worden uitgevoerd.

Door ZpAz, zaterdag 10 april 2010 14:14

Score: 0
Ik dacht dat Chrome Javascript compiled? Maar dit weet ik niet zeker.

Door Dopdop, zaterdag 10 april 2010 14:38

Score: 1
Javascript valt niet te compilen!!
Java is heeeel wat anders dan javascript!

Door latka, zaterdag 10 april 2010 14:46

Score: 1
JavaScript valt prima te compileren (zie Rhino van Mozilla of de diverse embedded JavaScript engines van de browsers van nu).

En inderdaad: Java en JavaScript zijn net zo vergelijkbaar als appels en peren: beide programmeertalen maar daar houd het echt wel op. JavaScript is de naam die Netscape eraan gaf omdat Java net hip en gaaf was en Netscape mee wilde doen. Noem het alsjeblieft gewoon EcmaScript ipv. JavaScript want de laatste paar versies hebben steeds minder vandoen met de JavaScript uit 1998 oid.

Door ZpAz, zaterdag 10 april 2010 17:21

Score: 1
Okee, ik heb het even opgezocht, de V8 engine is de JS engine van Chrome.
V8 compiles JavaScript source code directly into machine code when it is first executed.
Van een officiele Google site: http://code.google.com/apis/v8/design.html

Elke taal valt te 'compilen', het ligt hem niet aan de taal of het gecompiled kan worden of niet.

Door Gamebuster, zaterdag 10 april 2010 21:02

Score: 0
Javascript is wel te compilen. Je hebt zelfs javascript-compilers :P

Door g4wx3, zaterdag 10 april 2010 15:24

Score: 1
Weeral een slimbo, die het verschil niet kent tussen hout en benzine... Een iemand die een t-net account niet waardig is....

Javascript -> Browser -> javascript-engine -> browser render engine
Javascript is net als PHP een script taal, die op voorhand totaal niet hoeft worden gecompileerd

Java -> Browser -> Java-plugin -> Java Interpreter -> Java render engine
net als .NET, flash en silverlight is Java een taal die de op voorhand wel naar binaire bestanden moet worden omzet, echter zijn ze nog niet gecompileerd voor de processor specifiek, vandaar dat crossplatform-programma's meestal in een van bovenstaande talen is geschreven (de tegenhanger van .NET op andere platformen is mono)

In grote lijnen doet een interpreter hetzelfde als een compiler. Een interpretter doet het just in time, waar een compiler op voorhand alle doet.

Door PolarBear, zaterdag 10 april 2010 18:49

Score: 0
Als je nou niet de eerste zin had geschreven was het echt een goede toevoeging geweest aan de discussie.

Door Zer0, zaterdag 10 april 2010 23:20

Score: 1
Javascript is net als PHP een script taal, die op voorhand totaal niet hoeft worden gecompileerd
Javascript en PHP zijn nogal verschillend, Javascript is client-side en PHP server-side.

Door mxcreep, zondag 11 april 2010 11:19

Score: 1
Javascript is niet perse client side, er zijn diverse server side applicatie platformen geweest die javascript als scripting taal aan de serverkant gebruikten.

Door aiva114, zaterdag 10 april 2010 13:44

Score: 0
Dus hoe gevaarlijk is die lek nou op schaal van 1tot 10??

Door tjtristan, zaterdag 10 april 2010 14:06

Score: 0
0 als je niet naar verkeerde sites gaat

Door Snicksie, zaterdag 10 april 2010 14:07

Score: 0
hangt er vanaf sowieso, op windows is dat altijd gevaarlijker dan op een 'veilig' besturingssysteem als linux ;)

Verder, 'k ben niet compleet bekend met java, maar als je dit dus wil misbruiken kan dat simpel en je hebt kans om gewoon een virus oid hiermee binnen te gaan halen :)

Door dasiro, zaterdag 10 april 2010 14:28

Score: 1
linux is niet veiliger, voor linux wordt er door veel minder mensen naar exploits gezocht omdat het net als Mac OS amper een handvol gebruikers telt.

Windows is trouwens een productfamilie en niet 1 OS

Door Snicksie, zaterdag 10 april 2010 14:33

Score: 1
Voordeel van linux is dat je bepaalde zaken perse met root/sudo moet afhandelen en dat houdt in dat je zonder wachtwoord bepaalde dingen niet voor elkaar gaat krijgen. Met andere woorden, een virus zou hoofdzakelijk in de minder 'belangrijke' delen van je pc kunnen komen in dat geval, hoewel documenten ongetwijfeld net zo goed belangrijk zijn;)

Inderdaad wordt er ook minder naar exploits gezocht en is een leuk feitje te weten dat de 'oprichter' van linux ook zelf graag wat aan 't hacken was :)

Door Xenan, zaterdag 10 april 2010 16:14

Score: 1
Dat is in Windows Vista en 7 ook zo, en Windows XP kan je ook zo configureren. Je argument houdt dus geen stand.

Door StarLite, zaterdag 10 april 2010 16:55

Score: 1
Als je als non-admin user draait ja, helaas doet lang niet iedereen dat (ik zelf ook niet, ik vertrouw erop dat ik op niks fout klik [totdat het wél een keer fout gaat wss ;) ])

Door Kettrick, zaterdag 10 april 2010 22:25

Score: 1
Dan ben je de veiligheid van een OS aan het afmeten aan het gebruik. als je het dan toch wil vergelijken doe het dan eerlijk en vergelijk een linux root met een windows administrator :)

Door hackerhater, zondag 11 april 2010 16:15

Score: 1
Alleen heb je default onder linux dus geen root-rechten

Door jbtbnl, zaterdag 10 april 2010 14:38

Score: 0
En jij beweert dat Linux en MAC OS geen productfamilies zijn?

Door latka, zaterdag 10 april 2010 14:48

Score: 1
Ja en nee: hoeveel Windows gebruikers draaien met Local-admin rechten en hoeveel Linux mannen browsen als root. Als je die getallen vergelijkt dat zie dat Linux niet per definitie veiliger hoeft te zijn alleen wel dat het out-of-the-box verdomd veel beter opgezet is dan Windows met zijn rare legacy ik-ben-altijd-admin-want-ik-ben-de-enige-gebruiker mentaliteit.

Door Snicksie, zaterdag 10 april 2010 15:01

Score: 1
Da's de reden dat ik juist niet als root browse :) Nu moet ik wat vaker mijn wachtwoord intypen als ik root-only zaken wil gebruiken, maar dan ben ik wel veel zekerder van mijn veiligheid dan bij 'n windows waarbij je veel eerder alle rechten hebt. En ik weet van tevoren bij bepaalde zaken dat ik daar eerst even m'n wachtwoord voor ga moeten ingeven. Da's wat anders dan de windows-mentaliteit: 'hi, ik kom weer toestemming vragen want ik vraag voor alles of niets toestemming' (een beetje zwarwit, maargoed, om het idee even duidelijk te maken ;) )

Op dit moment heeft windows wel heel leuk het beveiligingssysteem aangescherpt, maar op dusdanige manier dat mensen zich er aan irriteren en gewoon simpelweg zoeken naar 'n manier om het maar uit te schakelen, omdat het hoofdzakelijk ook bij 'niet' gevaarlijke applicaties gaat waarschuwen.

Door mstreurman, zaterdag 10 april 2010 15:44

Score: 0
"Niet gevaarlijk..." zoals de Zylom games website/games en de RealOne Games?

die zooi vind me moeder leuk... maar NOWAI dat die shit op onze computers komt... teveel gekut mee gehad...

Door mstreurman, zaterdag 10 april 2010 15:42

Score: 1
welke windows heb jij als laatste gebruikt? want volgens mij was XP de laatste die standaard altijd als admin inlogte... In Vista en 7 ben je standaard SuperUser, al een heel stuk veiliger (Hoeft niet het wachtwoord in te vullen, maar geeft op dezelfde momenten als een "beperkt" user account een Gele UAC waarschuwing)

Wat jij roept basically is: Jah... Windows XP is slechter beveiligd dan Windows 7, dan denk ik Ja dat klopt... want MAC OSX 10.6 was ook minder veilig dan Mac OSX 10...

(JIJ vergelijkt Windows XP met Ubuntu 10.4 bij wijze van...)

Door SPee, zaterdag 10 april 2010 22:57

Score: 1
Beide worden door veel mensen (op recente) gebruikt toch ;)

maar ik snap het verschil, XP bestaat al jaren, bij Ubuntu draai je meestal de laatste versie. Bij Windows doe je dat veelal niet omdat het je dan extra geld kost.

[Reactie gewijzigd door SPee op zaterdag 10 april 2010 22:57]

Door Gert, zaterdag 10 april 2010 13:45

Score: 1
Je moet ook toestemming geven voor een jws applicatie wordt gestart.

Door Grauw, zaterdag 10 april 2010 17:23

Score: 1
Maar dit gaat om een URL parsing exploit, wat dus waarschijnlijk vóór het starten is, al bij het downloaden.

Door Quacka, zaterdag 10 april 2010 13:50

Score: 1
Updated Although Linux contains vulnerable code, I was unable to exploit it in the same manner. It likely can be exploited by using the proper sequence of command-line arguments, but the sudden release didn't allow me to research into this issue.I was focused on Windows at the moment of the disclosure.
Ik vraag me dus af of het alleen om windows gaat.

Door corné, zaterdag 10 april 2010 13:51

Score: 1
Dit lek zit in Java Web Start, heeft niets te maken met Windows Mobile...

Door the_shadow, zaterdag 10 april 2010 15:33

Score: 1
Het gaat hier over een lek in het Java Webstart Framework, hoe heeft dit ook maar iets in de verste verte te maken met telefoons?

Door Oeroeg, zaterdag 10 april 2010 22:07

Score: 1
U vergist zich, als u het artikel gelezen had, dan was u er naar alle waarschijnlijkheid achter gekomen dat het hier niet over telefoons gaat. Het gaat hier uitsluitend over windows computers mét java geïnstalleerd.

Door CherandarGuard, zaterdag 10 april 2010 13:49

Score: 0
Het lek bestaat al jaren, maar nu zijn er ineens twee onderzoekers die dit onafhankelijk van elkaar hebben ontdekt? Dat is wel heel erg toevallig.

Door Snicksie, zaterdag 10 april 2010 14:16

Score: 1
Als niemand 't doorhebt hoef je ook niet zo nodig te fixen, zo werkt het meestal he :)

Maargoed, ik vraag me af of 't gewone onderzoekers zijn of mensen die daar ook daadwerkelijk andere dingen mee gaan doen?

Verder: een onderzoeker heeft dit dus 'n jaar geleden al gevonden? Dat ze er dan nu eens achterkomen en het willen fixen ;)

Door Fishbeast, zaterdag 10 april 2010 13:49

Score: 1
ja, maar het scheelt dat de Java JVM in een securitymanager draait die rechten nodig heeft dmv een policy die met de een policy tooltje gemaakt kan worden. het betekend dus niet dat een webstart applicatie meteen heftige dingen kan doen.

Door latka, zaterdag 10 april 2010 14:48

Score: 0
Ik zou het even na moeten zoeken maar draaien webstart apps onder een policy (applets wel inderdaad, maar WebStart ook)?
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 14:42 'Apple wil tirannieke controle over ontwikkelaars' - update
Vorige 12:29 Twitter koopt Tweetie en maakt het gratis beschikbaar
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011