Ongepatcht lek in Java 7 wordt actief misbruikt
Een nog niet gedicht beveiligingslek in Java 7 blijkt niet alleen Windows-systemen te kunnen besmetten, ook Linux en OS X blijken kwetsbaar. Bovendien zou misbruik van het lek door middel van exploits langzaam maar zeker toenemen.
De kwetsbaarheid in Java komt voor in JRE 1.7 met updateversie 0 tot en met 6; JRE 1.6 blijkt het lek niet te bevatten. Code voor een exploit van het gat in de Java 1.7-runtimes is al opgenomen in Metasploit, een veelgebruikte toolkit voor het opsporen van beveiligingsgaten. Uit een test van Errata Security blijkt dat niet alleen Windows-systemen met de desbetreffende Java-versie kwetsbaar zijn, maar dat ook systemen die op Linux of OS X draaien via diverse browsers aangevallen kunnen worden.
Omdat Oracle nog geen patch heeft aangekondigd om de kwetsbaarheid te verhelpen en de eerstvolgende update van Java 7 pas voor 16 oktober is gepland, raden beveiligingsonderzoekers aan om Java-plug-ins in browsers voorlopig uit te schakelen. Cybercriminelen zouden de exploit inmiddels actief misbruiken om computers te kraken, onder meer omdat de benodigde code is opgenomen in de exploitbibliotheek van de Blackhole Exploit Kit.
Reacties (123)
En alweer is Oracle traag met het dichten van gaten.
Je zou toch zeggen dat ze daar een keer problemen mee moeten krijgen?
Je zou toch zeggen dat ze daar een keer problemen mee moeten krijgen?
Tja, JRE zit in een periodieke update cyclus. Update 6 is nog vrij recent uitgegeven, ik ga er eigenlijk ook van uit dat Oracle zijn 'geweldige' reputatie eer aan doet, en dit lek pas te dichtten met Update 7, die ergens mid-oktober te verwachten is.
Update 8 komt in october, update 7 kan nog tussendoor vrijgegeven worden als een hotfix release. Nu dit nieuws openbaar is gemaakt zal dat wellicht gebeuren.
De vorige keer was Oracle wel snel, maar Apple traag.
Apple distribueert Java 6 nog. Als je Java 7 wil draaien moet je die zelf installeren, maar wordt deze ook niet bijgewerkt door Apple.
Als je Java 7 op je Mac hebt, doet Oracle daar ook de updates voor. Net zoals dat al jaren voor Windows gebeurt.
de vorige keer betrof het Java 6, niet Java 7, en bij de laatste update van Java 6 was apple net zo snel als Oracle. De update ervoor was Apple wel traag, met de bekende gevolgen.De vorige keer was Oracle wel snel, maar Apple traag.
Bij Java 7 ligt alles bij Oracle, en doet Apple niet meer mee in de ontwikkeling van de OS X versie
Je hebt gelijk wbt het vorige java lek met grote gevolgen.
Staat deze bug inmiddels in de bug tracker van Oracle of OpenJDK? Of ging het de vinder meer om de aandacht?
[Reactie gewijzigd door Cobalt op 28 augustus 2012 18:03]
Er zijn nu security updates uit voor zowel Java 6 als 7. Zie dit security alert.
Heeft dus twee dagen geduurd. Jammer dat Oracle dit niet wat eerder kon vertellen, maar ik weet niet wie ze het heeft gevraagd...
Heeft dus twee dagen geduurd. Jammer dat Oracle dit niet wat eerder kon vertellen, maar ik weet niet wie ze het heeft gevraagd...
En hoe schakel je Java dan even snel (in alle browsers) uit?
Firefox kennende wordt vandaag nog een security patch uitgebracht die deze versie van Java uitschakelt. In Chrome en andere browsers: geen idee.
Jup, dat is bij mij al eergisteren gebeurd.
Die security patch heet Firefox 15? Toevallig wordt die vandaag namelijk released (toen ik net update checkte, kreeg ik hem al!)
Leuk, maar onze VPN-software gebruikt dus Java. Wil ik verbinding maken met ons bedrijf dan moet ik dus de Java wel aan hebben staan, en dat geld dus ook voor alle gebruikers bij onze klanten.
Zonder dat had ik Java dus niet geïnstalleerd gehad, zelfs LO & OO kun je zonder gebruiken.
Geef mij maar een andere oplossing als uitschakelen.
Zonder dat had ik Java dus niet geïnstalleerd gehad, zelfs LO & OO kun je zonder gebruiken.
Geef mij maar een andere oplossing als uitschakelen.
offtopic:
Helaas is de trend tegenwoordig dat je een installer download die de echte app binnenhaalt en dus niet meer zelf de versie kunt kiezen. Voor Java is de er nog wel een 'Download Java 6'-pagina maar daar vindt je voor Windows alleen de 32-bits versie.
Voor Solaris en Linux zijn er (nog) wel 64-bits versies, en buiten OS-X moet je voor voor alle andere besturings-systemen (Open-solaris en afgeleiden, FreeBSD, OpenBSD, NetBSD, Haiku, eComstation) moet je niet bij Oracle zijn.
Bij veel andere software, vaak te vinden via sites als 'oldversion.com' is de keus er niet meer, juist door dit soort installers, dus als je een licentie hebt maar de oude versie beter vind of je licentie is alleen geldig voor de oude versie, dan heb je gewoon pech.
Helaas is de trend tegenwoordig dat je een installer download die de echte app binnenhaalt en dus niet meer zelf de versie kunt kiezen. Voor Java is de er nog wel een 'Download Java 6'-pagina maar daar vindt je voor Windows alleen de 32-bits versie.
Voor Solaris en Linux zijn er (nog) wel 64-bits versies, en buiten OS-X moet je voor voor alle andere besturings-systemen (Open-solaris en afgeleiden, FreeBSD, OpenBSD, NetBSD, Haiku, eComstation) moet je niet bij Oracle zijn.
Bij veel andere software, vaak te vinden via sites als 'oldversion.com' is de keus er niet meer, juist door dit soort installers, dus als je een licentie hebt maar de oude versie beter vind of je licentie is alleen geldig voor de oude versie, dan heb je gewoon pech.
hier staat per browser beschreven hoe je java disabled:
https://krebsonsecurity.c...ug-java-from-the-browser/
https://krebsonsecurity.c...ug-java-from-the-browser/
In Opera is er geen aparte instelling voor. Die wordt dan ook niet op die site genoemd. Als ik het goed begrepen van andere sites zou ik al de plugins moeten disablen. Daar ben ik niet blij mee.
type opera:plugins in de adresbalk. Java kan er meerdere keren in staan. En voor chrome, zoals als ze wel vaker leentjebuur spelen bij opera: chrome://plugins
[Reactie gewijzigd door jurriaan op 28 augustus 2012 16:48]
Mja, firefox/mozilla's about:plugins zal daar vast niks mee te maken hebben (en je gelooft het vast nooit, maar about:plugins doet het ook in chrome, opera:plugins gek genoeg niet).
maar about:plugins dan weer wel in Opera 
Chrome: chrome://plugins/
In Chromium/Chrome is dat about:plugins of chrome://plugins/
Maar wat ik me afvraag, wat draaien wij Linuxgebruikers dan?
Cubuntu (en vast alle andere Ubuntu/Mint/Debian derivatives) draait hier IcedTea-Web Plugin 1.2 (1.2-2ubuntu1.1) voor Java, geen idee hoe zich dat vertaalt tot de in het artikel genoemde versies.
http://icedtea.classpath.org/wiki/IcedTea-Web
Maar wat ik me afvraag, wat draaien wij Linuxgebruikers dan?
Cubuntu (en vast alle andere Ubuntu/Mint/Debian derivatives) draait hier IcedTea-Web Plugin 1.2 (1.2-2ubuntu1.1) voor Java, geen idee hoe zich dat vertaalt tot de in het artikel genoemde versies.
http://icedtea.classpath.org/wiki/IcedTea-Web
[Reactie gewijzigd door Redsandro op 28 augustus 2012 17:03]
Je kunt het zelf uitproberen. Een proof-of-concept staat hier. Of je kunt natuurlijk gelijk even MetaSploit uitproberen. Daar zit ie ook al in.
Zo te zien zijn het allemaal java.* classes. Als deze direct overgenomen zijn van de OpenJDK dan verwacht ik dat ook IcedTea vatbaar is.
Zo te zien zijn het allemaal java.* classes. Als deze direct overgenomen zijn van de OpenJDK dan verwacht ik dat ook IcedTea vatbaar is.
Ik heb even de proof-of-concept geprobeerd te compilen. Ik hoop dat ik alles goed heb gedaan maar het lijkt er op dat dit niet werkt in IcedTea 7
java version "1.7.0_03"
OpenJDK Runtime Environment (IcedTea7 2.1.1) (7~u3-2.1.1-3)
OpenJDK 64-Bit Server VM (build 22.0-b10, mixed mode)
java.lang.SecurityException: Changing the SecurityManager is not allowed.
EDIT: Ik heb de applet ook in windows getest, hier werkte de code wel. Blijkbaar werkt de code niet in IcedTea en zullen een hele hoop linux gebruikers geen last hebben van deze exploit.
java version "1.7.0_03"
OpenJDK Runtime Environment (IcedTea7 2.1.1) (7~u3-2.1.1-3)
OpenJDK 64-Bit Server VM (build 22.0-b10, mixed mode)
java.lang.SecurityException: Changing the SecurityManager is not allowed.
EDIT: Ik heb de applet ook in windows getest, hier werkte de code wel. Blijkbaar werkt de code niet in IcedTea en zullen een hele hoop linux gebruikers geen last hebben van deze exploit.
[Reactie gewijzigd door cornedor op 29 augustus 2012 02:51]
Weet je niet wat je zelf draait?...wat draaien wij Linuxgebruikers
'Wij' linux gebruikers zijn geen eenheids worst over het algemeen. Tis geen windows... Ik kan kiezen uit een hoop JRE's.
[Reactie gewijzigd door freaky op 29 augustus 2012 09:47]
@ zunflappie:
Zo:
http://krebsonsecurity.co...ug-java-from-the-browser/
Het schijnt te gaan om het Poison Ivy trojan
detecteren van deze: http://hbgary.com/attachments/detectingpoisonivy.pdf
Zo:
http://krebsonsecurity.co...ug-java-from-the-browser/
Het schijnt te gaan om het Poison Ivy trojan
detecteren van deze: http://hbgary.com/attachments/detectingpoisonivy.pdf
[Reactie gewijzigd door Kees de Jong op 28 augustus 2012 22:50]
Had ik gisteravond eindelijk een Java van Oracle (ipv Apple) op m'n Macintosh gezet, vanwege de hoop op snellere updates dan van Apple, kan ik 't meteen weer uitzetten. 
Apple gaat Java niet meer bijwerken. Het is ook geen core product.. Daarnaast zou Oracle in principe ook een updater moeten meeleveren, maar uiteindelijk is het wachten tot de volgende update, waar je 't ook vandaan haalt.
offtopic:
Apple gaat helemaal geen updates meer verzorgen voor Java. Als je Java 7 wilt draaien zul je wel bij Oracle moeten zijn.
Apple gaat helemaal geen updates meer verzorgen voor Java. Als je Java 7 wilt draaien zul je wel bij Oracle moeten zijn.
Is het beste wat je nu kan doen, java uninstallen? of gewoon geen java meer proberen te gebruiken op het internet?
Want zit dit alleen in java (dat wat je installeerd) of ook in plugins op die websites?
Want zit dit alleen in java (dat wat je installeerd) of ook in plugins op die websites?
Het lek word waarschijlijk misbruikt door mensen door te sturen naar een "site" die dan vraagt om de java-plugin uit te voeren en verder... dit weet ik trouwens niet zeker maar ik weet wel dat je dit zo kan doen om mensen bestanden (virussen) te laten downloaden en uitvoeren.
EDIT: Ik kijk daarom altijd uit wanneer ik java plugins toe laat
EDIT: Ik kijk daarom altijd uit wanneer ik java plugins toe laat
[Reactie gewijzigd door julianbtje op 28 augustus 2012 16:02]
Uh, nee, als je java draait start een java applet automatisch op.
Dit is een vertrouwde site:
http://www.java.com/en/download/testjava.jsp
Als de sun/oracle java start ben je dus kwetsbaar.
daar zie je welke versie je ook hebt draaien.
Dit is een vertrouwde site:
http://www.java.com/en/download/testjava.jsp
Als de sun/oracle java start ben je dus kwetsbaar.
daar zie je welke versie je ook hebt draaien.
Bij mij in Chrome start het pas op als ik op "Run this time" of "Always run on this site" klik
http://www.java.com/en/download/faq/chrome.xml
Volgens mij loop ik dus geen gevaar zolang ik daar niet op klik
http://www.java.com/en/download/faq/chrome.xml
Volgens mij loop ik dus geen gevaar zolang ik daar niet op klik
Tenzij de door jou vertrouwde website(s) geïnfecteerd raakt
Inderdaad...
Totdat iemand firefox of internet explorer gebruikt op je pc. Ik heb daarom op de internet bak in huis maar java even gedeinstalleerd totdat oracle een update heeft.
Totdat iemand firefox of internet explorer gebruikt op je pc. Ik heb daarom op de internet bak in huis maar java even gedeinstalleerd totdat oracle een update heeft.
haha, IE vraagt je om java op te starten en deze toegang te geven om ook maar op te starten uberhaupt. Dus tja, gevalletje PEBCAK
hm ik kan hem niet downloaden, zodra ik op download klik ''hangt'' me browser, en dan komt er een pop-up maar kan niet op -Bestand opslaan- klikken, dit terwijl ik na mijn weten wekelijks java update?¿ de pop up blijft zelfs staan nu ik hier aan het type ben om het bestand op te slaan..
Ik heb de proof-of-concept gecompiled.
Voorbeeld voor windows: http://cd0.nl/3/page.html (Start calc.exe op)
Voorbeeld voor linux (osx?): http://cd0.nl/4/page.html (Start xclock op)
Indien je op linux IcedTea gebruikt werkt de exploit niet.
Voorbeeld voor windows: http://cd0.nl/3/page.html (Start calc.exe op)
Voorbeeld voor linux (osx?): http://cd0.nl/4/page.html (Start xclock op)
Indien je op linux IcedTea gebruikt werkt de exploit niet.
IE10 op Win8 ook niet vatbaar dus, ik zie geen calculator 
Dit kun je niet zo zeggen, je kunt natuurlijk verschillende Java versies draaien.
Je kunt ook gewoon openjdk gebruiken ipv de oracle jre?
Bij Ubuntu is dat zelfs standaard.
Er zijn maar heel weinig sites die van Java gebruik maken. Ik durf te stellen dat voor de thuisgebruiker het in 99% van de gevallen het beste is om Java in het geheel te oninstallleren of in ieder geval in de browser uit te schakelen.Is het beste wat je nu kan doen, java uninstallen? of gewoon geen java meer proberen te gebruiken op het internet?
Precies, Java wordt niet zo veel meer gebruikt op (consumenten) client systemen, het wordt anno 2012 voornamelijk server-side gebruikt.
De JVM staat ook op steeds minder PC's voorgeinstalleerd.
De JVM staat ook op steeds minder PC's voorgeinstalleerd.
[Reactie gewijzigd door Dreamvoid op 28 augustus 2012 16:49]
JavaScript moet je ook niet uitschakelen, alleen Java. JavaScript wordt denk ik op 90% van de websites gebruikt, Java vrijwel nergens. En de vulnerability zit niet in JavaScript, alleen in Java 1.7
Javascript en Java hebben in z'n geheel niets met elkaar te maken. Je conclusie is dan ook nogal raar; je doet 2 verschillende dingen, dat heeft een bepaald resultaat, en vervolgens concludeer je dat het lag aan beide dingen die je deed, terwijl het prima ook gewoon louter door 1 van die dingen kon komen. Wat in dit geval ook het geval is, want als je javascript disabled dan werken een hoop websites ineens niet meer fatsoenlijk of zoals je zou verwachten.
[Reactie gewijzigd door .oisyn op 29 augustus 2012 12:00]
@ stef602:
Java uitschakelen in je browser
Java uitschakelen in je browser
Preferences > Security > Enable Java uitvinken
hoe uninstall je java van osx mountain lion? (google geeft geen antwoord)
Omdat het standaard niet geïnstalleerd wordt. Dat dien je achteraf te doen.
Niet.
In je browser uitzetten is genoeg.
In je browser uitzetten is genoeg.
uninstall:
rm -R /System/Library/Java/JavaVirtualMachines/
cd /private/var/db/receipts/
sudo rm com.apple.pkg.JavaForMacOSX107.bom
sudo rm com.apple.pkg.JavaForMacOSX107.plist
rm -R /System/Library/Java/JavaVirtualMachines/
cd /private/var/db/receipts/
sudo rm com.apple.pkg.JavaForMacOSX107.bom
sudo rm com.apple.pkg.JavaForMacOSX107.plist
Dit is geen oplossing!
Deactiveren in je browser is genoeg, en pas weer activeren als Oracle een fix heeft.
Deactiveren in je browser is genoeg, en pas weer activeren als Oracle een fix heeft.
Als het goed is, staat java niet geinstalleerd.
tik voor de grap eens "java -version" op de commandline. Je krijgt dan of een versienummer, of een pop-up met de vraag of je Java 6 wilt installeren.
Die laatste natuurlijk gewoon weigeren :-)
[edit]
@arjankoole, hieronder.
Nou, hij vraagt hoe je java de-installeert, dan lijkt het me niet juist om hem vervolgens Java (ook al is het versie 6) te laten _installeren_.
tik voor de grap eens "java -version" op de commandline. Je krijgt dan of een versienummer, of een pop-up met de vraag of je Java 6 wilt installeren.
Die laatste natuurlijk gewoon weigeren :-)
[edit]
@arjankoole, hieronder.
Nou, hij vraagt hoe je java de-installeert, dan lijkt het me niet juist om hem vervolgens Java (ook al is het versie 6) te laten _installeren_.
[Reactie gewijzigd door Keypunchie op 29 augustus 2012 04:37]
Nee, want apple levert java 6 jre/jdk 1.6), en die is nou juist niet vatbaar. Java 7, die door Oracle geleverd wordt, als je die al handmatig geïnstalleerd hebt, is wel vatbaar.Die laatste natuurlijk gewoon weigeren :-)
Ik kan het niet vaak genoeg verkondigen: zet die Java browser plugin toch gewoon uit. Firefox: ctrl+shift+a, plugins, Java: uitschakelen. Vrijwel nergens op het web is Java nog nodig, en er lijkt geen einde te komen aan de reeks traag-gepatchte fouten.
[Reactie gewijzigd door wintermute. op 28 augustus 2012 18:05]
Nee, alles werkt dan nog prima, ik heb bij mij Java helemaal niet op de PC en alles doet het. JavaSCRIPT is een erg veel gebruikte scripttaal die door de browser (niet door het Javaplugin) uigevoerd wordt. Deze heeft niet het hier genoemde lek. JavaSCRIPT uitschakelen zal idd tot veel problemen leiden. Gelukkig wordt deze door de browsers bijgewerkt, en de browserproducenten hebben niet de arrogante instelling van Oracle.
[Reactie gewijzigd door _Pussycat_ op 28 augustus 2012 21:53]
Hij staat bij mij uitgeschakeld door Mozilla wegens security issues. En dat is volgens mij al een hele tijd.
Tot dusver werken alle sites waar ik kom.
Tot dusver werken alle sites waar ik kom.
zal Oracle de lek niet sneller dichten, nu er aardig veel misbruik wordt gemaakt en die figuren hebben dus als ik het mag geloven de gehele maand September vrij baan ?
Alles waarvoor ik Java gebruik (en dus ook Java zelf) draait bij mij in een virtual machine. Java zelf zet ik niet op mijn host. Die virtual machine start ik alleen op wanneer ik hem nodig heb. Mocht ik dan een keer een hack krijgen dan is de schade als het goed is beperkt. Of je iets hebt aan deze tip hangt vooral af hoe actief je Java gebruikt natuurlijk
Of je er wat aan hebt zal vooral afhangen of die virtuele doos ook aan een internetgateway hangt
[Reactie gewijzigd door ViperXL op 28 augustus 2012 17:18]
Hoe bedoel je dat? In het ergste geval wordt die virtuele machine toch alleen gehackt? Met mijn host is dan niet meteen iets aan de hand lijkt mij. Ook niet als ze op dezelfde internetgateway zitten.
er zijn manieren om vanuit je VM de host te bereiken, dus zo veilig ben je niet
Op dit item kan niet meer gereageerd worden.
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
