Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 123 reacties
Submitter: Icingdeath

Een nog niet gedicht beveiligingslek in Java 7 blijkt niet alleen Windows-systemen te kunnen besmetten, ook Linux en OS X blijken kwetsbaar. Bovendien zou misbruik van het lek door middel van exploits langzaam maar zeker toenemen.

De kwetsbaarheid in Java komt voor in JRE 1.7 met updateversie 0 tot en met 6; JRE 1.6 blijkt het lek niet te bevatten. Code voor een exploit van het gat in de Java 1.7-runtimes is al opgenomen in Metasploit, een veelgebruikte toolkit voor het opsporen van beveiligingsgaten. Uit een test van Errata Security blijkt dat niet alleen Windows-systemen met de desbetreffende Java-versie kwetsbaar zijn, maar dat ook systemen die op Linux of OS X draaien via diverse browsers aangevallen kunnen worden.

Omdat Oracle nog geen patch heeft aangekondigd om de kwetsbaarheid te verhelpen en de eerstvolgende update van Java 7 pas voor 16 oktober is gepland, raden beveiligingsonderzoekers aan om Java-plug-ins in browsers voorlopig uit te schakelen. Cybercriminelen zouden de exploit inmiddels actief misbruiken om computers te kraken, onder meer omdat de benodigde code is opgenomen in de exploitbibliotheek van de Blackhole Exploit Kit.

Reacties (123)

Reactiefilter:-11230114+158+213+33
Moderatie-faq Wijzig weergave
Met update 7 zou het lek weer gedicht moeten zijn.
Meer info over deze Zero Day hier: http://blog.fireeye.com/r...ason-is-not-over-yet.html

[Reactie gewijzigd door mjcm op 28 augustus 2012 16:33]

De exploit komt volgens deze bron van origine uit China van domein ok.XXX4.net. 1

Ik bespeur hier een anti Java sentiment op Tweakers.net. Ik verwacht ook een nieuws artikel wanneer er een patch is. Verder zou het handig zijn als de vinder van deze bug/leak het ook toevoegd aan de bug tracker van Java. Ik kan het niet vinden in de bug tracker. Staat het niet in de bug tracker dat is het een beetje onzinnig om Oracle de schuld te geven dat er nog geen patch is.

[Reactie gewijzigd door Cobalt op 28 augustus 2012 17:57]

Bovendien is de OpenJDK een open source project waar meerdere grote bedrijven en vrijwilligers aan meewerken, niet enkel van Oracle. Iedereen kan meehelpen om deze exploit te fixen.

[Reactie gewijzigd door Dreamvoid op 28 augustus 2012 22:39]

Deze exploit werkt niet in IcedTea, de browser plugin van OpenJDK
En hoe schakel je Java dan even snel (in alle browsers) uit?
hier staat per browser beschreven hoe je java disabled:
https://krebsonsecurity.c...ug-java-from-the-browser/
In Opera is er geen aparte instelling voor. Die wordt dan ook niet op die site genoemd. Als ik het goed begrepen van andere sites zou ik al de plugins moeten disablen. Daar ben ik niet blij mee.
type opera:plugins in de adresbalk. Java kan er meerdere keren in staan. En voor chrome, zoals als ze wel vaker leentjebuur spelen bij opera: chrome://plugins

[Reactie gewijzigd door jurriaan op 28 augustus 2012 16:48]

Mja, firefox/mozilla's about:plugins zal daar vast niks mee te maken hebben (en je gelooft het vast nooit, maar about:plugins doet het ook in chrome, opera:plugins gek genoeg niet).
maar about:plugins dan weer wel in Opera ;)
Chrome: chrome://plugins/
In Chromium/Chrome is dat about:plugins of chrome://plugins/

Maar wat ik me afvraag, wat draaien wij Linuxgebruikers dan?

Cubuntu (en vast alle andere Ubuntu/Mint/Debian derivatives) draait hier IcedTea-Web Plugin 1.2 (1.2-2ubuntu1.1) voor Java, geen idee hoe zich dat vertaalt tot de in het artikel genoemde versies.

http://icedtea.classpath.org/wiki/IcedTea-Web

[Reactie gewijzigd door Redsandro op 28 augustus 2012 17:03]

Ik heb even de proof-of-concept geprobeerd te compilen. Ik hoop dat ik alles goed heb gedaan maar het lijkt er op dat dit niet werkt in IcedTea 7

java version "1.7.0_03"
OpenJDK Runtime Environment (IcedTea7 2.1.1) (7~u3-2.1.1-3)
OpenJDK 64-Bit Server VM (build 22.0-b10, mixed mode)
java.lang.SecurityException: Changing the SecurityManager is not allowed.

EDIT: Ik heb de applet ook in windows getest, hier werkte de code wel. Blijkbaar werkt de code niet in IcedTea en zullen een hele hoop linux gebruikers geen last hebben van deze exploit.

[Reactie gewijzigd door cornedor op 29 augustus 2012 02:51]

Je kunt het zelf uitproberen. Een proof-of-concept staat hier. Of je kunt natuurlijk gelijk even MetaSploit uitproberen. Daar zit ie ook al in.

Zo te zien zijn het allemaal java.* classes. Als deze direct overgenomen zijn van de OpenJDK dan verwacht ik dat ook IcedTea vatbaar is.
wat draaien wij Linuxgebruikers
Weet je niet wat je zelf draait?...

'Wij' linux gebruikers zijn geen eenheids worst over het algemeen. Tis geen windows... Ik kan kiezen uit een hoop JRE's.

[Reactie gewijzigd door freaky op 29 augustus 2012 09:47]

Firefox kennende wordt vandaag nog een security patch uitgebracht die deze versie van Java uitschakelt. In Chrome en andere browsers: geen idee.
Jup, dat is bij mij al eergisteren gebeurd.
Die security patch heet Firefox 15? Toevallig wordt die vandaag namelijk released (toen ik net update checkte, kreeg ik hem al!)
Leuk, maar onze VPN-software gebruikt dus Java. Wil ik verbinding maken met ons bedrijf dan moet ik dus de Java wel aan hebben staan, en dat geld dus ook voor alle gebruikers bij onze klanten.

Zonder dat had ik Java dus niet ge´nstalleerd gehad, zelfs LO & OO kun je zonder gebruiken.
Geef mij maar een andere oplossing als uitschakelen.

offtopic:
Helaas is de trend tegenwoordig dat je een installer download die de echte app binnenhaalt en dus niet meer zelf de versie kunt kiezen. Voor Java is de er nog wel een 'Download Java 6'-pagina maar daar vindt je voor Windows alleen de 32-bits versie.

Voor Solaris en Linux zijn er (nog) wel 64-bits versies, en buiten OS-X moet je voor voor alle andere besturings-systemen (Open-solaris en afgeleiden, FreeBSD, OpenBSD, NetBSD, Haiku, eComstation) moet je niet bij Oracle zijn.

Bij veel andere software, vaak te vinden via sites als 'oldversion.com' is de keus er niet meer, juist door dit soort installers, dus als je een licentie hebt maar de oude versie beter vind of je licentie is alleen geldig voor de oude versie, dan heb je gewoon pech.
@ zunflappie:

Zo:
http://krebsonsecurity.co...ug-java-from-the-browser/


Het schijnt te gaan om het Poison Ivy trojan

detecteren van deze: http://hbgary.com/attachments/detectingpoisonivy.pdf

[Reactie gewijzigd door Kees de Jong op 28 augustus 2012 22:50]

Is het beste wat je nu kan doen, java uninstallen? of gewoon geen java meer proberen te gebruiken op het internet?
Want zit dit alleen in java (dat wat je installeerd) of ook in plugins op die websites?
Het lek word waarschijlijk misbruikt door mensen door te sturen naar een "site" die dan vraagt om de java-plugin uit te voeren en verder... dit weet ik trouwens niet zeker maar ik weet wel dat je dit zo kan doen om mensen bestanden (virussen) te laten downloaden en uitvoeren.

EDIT: Ik kijk daarom altijd uit wanneer ik java plugins toe laat :P

[Reactie gewijzigd door julianbtje op 28 augustus 2012 16:02]

Ik heb de proof-of-concept gecompiled.
Voorbeeld voor windows: http://cd0.nl/3/page.html (Start calc.exe op)
Voorbeeld voor linux (osx?): http://cd0.nl/4/page.html (Start xclock op)

Indien je op linux IcedTea gebruikt werkt de exploit niet.
IE10 op Win8 ook niet vatbaar dus, ik zie geen calculator :)
Dit kun je niet zo zeggen, je kunt natuurlijk verschillende Java versies draaien.
Uh, nee, als je java draait start een java applet automatisch op.

Dit is een vertrouwde site:

http://www.java.com/en/download/testjava.jsp

Als de sun/oracle java start ben je dus kwetsbaar.

daar zie je welke versie je ook hebt draaien.
Bij mij in Chrome start het pas op als ik op "Run this time" of "Always run on this site" klik
http://www.java.com/en/download/faq/chrome.xml

Volgens mij loop ik dus geen gevaar zolang ik daar niet op klik
Tenzij de door jou vertrouwde website(s) ge´nfecteerd raakt
Inderdaad...

Totdat iemand firefox of internet explorer gebruikt op je pc. Ik heb daarom op de internet bak in huis maar java even gedeinstalleerd totdat oracle een update heeft.
haha, IE vraagt je om java op te starten en deze toegang te geven om ook maar op te starten uberhaupt. Dus tja, gevalletje PEBCAK
hm ik kan hem niet downloaden, zodra ik op download klik ''hangt'' me browser, en dan komt er een pop-up maar kan niet op -Bestand opslaan- klikken, dit terwijl ik na mijn weten wekelijks java update?┐ de pop up blijft zelfs staan nu ik hier aan het type ben om het bestand op te slaan..
Is het beste wat je nu kan doen, java uninstallen? of gewoon geen java meer proberen te gebruiken op het internet?
Er zijn maar heel weinig sites die van Java gebruik maken. Ik durf te stellen dat voor de thuisgebruiker het in 99% van de gevallen het beste is om Java in het geheel te oninstallleren of in ieder geval in de browser uit te schakelen.
JavaScript moet je ook niet uitschakelen, alleen Java. JavaScript wordt denk ik op 90% van de websites gebruikt, Java vrijwel nergens. En de vulnerability zit niet in JavaScript, alleen in Java 1.7
Javascript en Java hebben in z'n geheel niets met elkaar te maken. Je conclusie is dan ook nogal raar; je doet 2 verschillende dingen, dat heeft een bepaald resultaat, en vervolgens concludeer je dat het lag aan beide dingen die je deed, terwijl het prima ook gewoon louter door 1 van die dingen kon komen. Wat in dit geval ook het geval is, want als je javascript disabled dan werken een hoop websites ineens niet meer fatsoenlijk of zoals je zou verwachten.

[Reactie gewijzigd door .oisyn op 29 augustus 2012 12:00]

Precies, Java wordt niet zo veel meer gebruikt op (consumenten) client systemen, het wordt anno 2012 voornamelijk server-side gebruikt.

De JVM staat ook op steeds minder PC's voorgeinstalleerd.

[Reactie gewijzigd door Dreamvoid op 28 augustus 2012 16:49]

Je kunt ook gewoon openjdk gebruiken ipv de oracle jre?
Bij Ubuntu is dat zelfs standaard.
@ stef602:

Java uitschakelen in je browser
Ok, er is een lek gevonden:

"De kwetsbaarheid in Java komt voor in JRE 1.7 met updateversie 0 tot en met 6"

Vervelend, maar die dingen gebeuren. Nu wil ik echter weten of er misbruik is gemaakt van deze exploit op mijn machine. Ik kan weinig info hierover vinden.

Hier staat de java code:

http://pastie.org/4594319

Maar wat doet het precies?
Wat die Java-code doet?

Kort gezegd komt het erop neer dat de beveiling uitgeschakeld wordt door de parameters/permissies van de SecurityManager aan te passen. Het wordt dan mogelijk om applicaties op het systeem te draaien, en in dit voorbeeld is dat calc.exe.

De code draait als een applet, die gestart wordt door aanroep van init(). Onderwijl staat er op het scherm dat de applicatie geladen wordt, maar dan is het inmiddels te laat.

De magie zit 'm volgens mij in de setField-methode, maar dit durf ik niet met zekerheid te zeggen.
De code die je daar ziet doet niet heel veel meer dan alleen de calculator opstarten: JE kunt het hier proberen als je wilt. http://cd0.nl/3/page.html
Jammer dat het artikel niet duidelijk maakt dat het gaat om een exploit in de browser-plugin en niet in de JVM zelf. De JVM zelf is niet kwetsbaar. Dit is een belangrijk detail omdat veel servers op Java-technologie draaien.

Dat de browser-plugin onveilig is naar en moet opgelost worden, maar de impact is relatief klein i.v.m. een onveilige JVM.
Dit is een belangrijk detail omdat veel servers op Java-technologie draaien.
Eigenlijk is dat detail helemaal niet zo belangrijk. Die servers draaien geen code van anderen (anders dan natuurlijk bewust geinstalleerde packages), integenstelling tot Java applets in een browser, waarbij de client doodleuk de code van de server lokaal gaat uitvoeren.

[Reactie gewijzigd door .oisyn op 29 augustus 2012 14:34]

hoe uninstall je java van osx mountain lion? (google geeft geen antwoord)
Als het goed is, staat java niet geinstalleerd.

tik voor de grap eens "java -version" op de commandline. Je krijgt dan of een versienummer, of een pop-up met de vraag of je Java 6 wilt installeren.

Die laatste natuurlijk gewoon weigeren :-)

[edit]
@arjankoole, hieronder.

Nou, hij vraagt hoe je java de-installeert, dan lijkt het me niet juist om hem vervolgens Java (ook al is het versie 6) te laten _installeren_. :+

[Reactie gewijzigd door Keypunchie op 29 augustus 2012 04:37]

Die laatste natuurlijk gewoon weigeren :-)
Nee, want apple levert java 6 jre/jdk 1.6), en die is nou juist niet vatbaar. Java 7, die door Oracle geleverd wordt, als je die al handmatig ge´nstalleerd hebt, is wel vatbaar.
Omdat het standaard niet ge´nstalleerd wordt. Dat dien je achteraf te doen.
Niet.
In je browser uitzetten is genoeg.
uninstall:

rm -R /System/Library/Java/JavaVirtualMachines/

cd /private/var/db/receipts/
sudo rm com.apple.pkg.JavaForMacOSX107.bom
sudo rm com.apple.pkg.JavaForMacOSX107.plist
Dit is geen oplossing!

Deactiveren in je browser is genoeg, en pas weer activeren als Oracle een fix heeft.
Ik vraag mij af of op zakelijk gebied ook (grote) (bekende) softwarepakketten bestaan, dus niet eigen (geschreven) bedrijfsapplicaties, die actief Java nodig heben.
Grote kantoor pakketten welke Java gebruiken zijn bijvoorbeeld: Oracle DB (met Enterprise Manager), Oracle E-Business Suite (met Oracle Financials, Oracle HRM, etc. gemeente Rotterdam draait daar bijvoorbeeld op), Lotus Domino, etc.

Maar ook IT software zoals bijvoorbeeld Atlassian JIRA en Rational Teamconcert draait ook op Java.

Tevens word Java dankzij Apache Hadoop en Apache Lucene in de backend van grote partijen gebruikt zoals bijvoorbeeld Twitter, Amazon, Hyves, Facebook, etc. Hier is een lijstje: http://wiki.apache.org/hadoop/PoweredBy

Daarnaast heb je natuurlijk ook nog een hele sliert aan (kantoor) software welke op Android draait; Dat is ook allemaal Java.

En nog plenty meer.
Oce Prisma voor het aansturen van industriele printers is ook volledig in Java geschreven. Voordeel hierbij is wel dat ze Java 7 nog niet ondersteunen en nog Java 6 gebruiken. :p
En alweer is Oracle traag met het dichten van gaten.
Je zou toch zeggen dat ze daar een keer problemen mee moeten krijgen?
De vorige keer was Oracle wel snel, maar Apple traag.
Apple distribueert Java 6 nog. Als je Java 7 wil draaien moet je die zelf installeren, maar wordt deze ook niet bijgewerkt door Apple.
Als je Java 7 op je Mac hebt, doet Oracle daar ook de updates voor. Net zoals dat al jaren voor Windows gebeurt.
De vorige keer was Oracle wel snel, maar Apple traag.
de vorige keer betrof het Java 6, niet Java 7, en bij de laatste update van Java 6 was apple net zo snel als Oracle. De update ervoor was Apple wel traag, met de bekende gevolgen.

Bij Java 7 ligt alles bij Oracle, en doet Apple niet meer mee in de ontwikkeling van de OS X versie
Je hebt gelijk wbt het vorige java lek met grote gevolgen.
Tja, JRE zit in een periodieke update cyclus. Update 6 is nog vrij recent uitgegeven, ik ga er eigenlijk ook van uit dat Oracle zijn 'geweldige' reputatie eer aan doet, en dit lek pas te dichtten met Update 7, die ergens mid-oktober te verwachten is.
Update 8 komt in october, update 7 kan nog tussendoor vrijgegeven worden als een hotfix release. Nu dit nieuws openbaar is gemaakt zal dat wellicht gebeuren.
Staat deze bug inmiddels in de bug tracker van Oracle of OpenJDK? Of ging het de vinder meer om de aandacht?

[Reactie gewijzigd door Cobalt op 28 augustus 2012 18:03]

Er zijn nu security updates uit voor zowel Java 6 als 7. Zie dit security alert.

Heeft dus twee dagen geduurd. Jammer dat Oracle dit niet wat eerder kon vertellen, maar ik weet niet wie ze het heeft gevraagd...

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True