Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 90, views: 30.593 •

Een beveiligingsonderzoeker heeft een nieuw en ernstig beveiligingsprobleem ontdekt in Java, dat op dit moment wellicht al wordt misbruikt door aanvallers en werkt op een volledig gepatchte Windows-machine. Gebruikers kunnen het beste de Java-plug-in uitschakelen.

De kwetsbaarheid werd eerder op donderdag gemeld door hacker Kafeine op het weblog Malware Don't Need Coffee, maar aanvankelijk was niet duidelijk of zijn claims op waarheid berustten. Beveiligingsbedrijf Alien Vault heeft het beveiligingsprobleem met de informatie die Kafeine beschikbaar heeft gesteld nu weten te reproduceren. Ze wisten eigen code uit te voeren met behulp van het lek, op een volledig gepatchte Windows-installatie met Java.

Er zijn twee redenen waarom het beveiligingsprobleem ernstig is. Allereerst gaat het om een probleem waarvoor nog geen patch bestaat en dat tot voor kort nog niet bekend was, een zogenoemd zero day-beveiligingsprobleem. Daarnaast wordt het lek al in het wild misbruikt, denkt Alien Vault: de exploit kits Blackhole en Nucleair Pack zouden de kwetsbaarheid al opgenomen hebben. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Omdat er op dit moment nog geen patch beschikbaar is, is de enige oplossing het uitschakelen van de Java-plug-in in de browser, schrijft Alien Vault. Wat het beveiligingsprobleem precies inhoudt, is echter nog niet geheel duidelijk, al lijkt het erop dat het permissiesysteem van Java om de tuin wordt geleid.

Wanneer het beveiligingsprobleem wordt opgelost, is onduidelijk. De eerstvolgende driemaandelijkse 'patchronde' van Java vindt plaats in februari, maar of deze kwetsbaarheid nog kan worden meegenomen, is onduidelijk. In oktober slaagde Java-eigenaar Oracle er niet in om een ernstig beveiligingsprobleem op tijd te patchen voor de patchronde.

In het afgelopen halfjaar kwamen er verschillende zero day-problemen in Java naar buiten. Een van de patches die een eveneens actief misbruikt Java-lek patchte, introduceerde een nieuw lek. Volgens beveiligingsbedrijf Kaspersky is Java het populairste doelwit van malwareauteurs; in het derde kwartaal van 2012 zou 56 procent van de malware zich op Java hebben gericht.

Calc.exe geopend via java zero day

De onderzoekers van Alien Vault starten met behulp van de exploit vanuit de browser de applicatie calc.exe. Echte malware voert schadelijkere trucs uit.

Reacties (90)

Ik ben blij dat ik Java nergens voor gebruik. Ik heb het dan ook al een jaar niet meer geinstalleerd staan. Juist om de reden dat het de focus heeft van veel hackers.

En drie-maandelijkse update rondes? Hoe uit de tijd is dat. Ik mag toch hopen dat ze tussendoor voor dit soort veiligheidsgaten uitzonderingen maken.
En drie-maandelijkse update rondes? Hoe uit de tijd is dat. Ik mag toch hopen dat ze tussendoor voor dit soort veiligheidsgaten uitzonderingen maken.
Ik hoop hetzelfde.
Vorig jaar ergens in september las ik nog dat oracle zelfs bij een beveiligingsprobleeem die al misbruikt werd er geen uitzondering op maakte totdat er een enorme druk vanuit de community kwam. Dan hebben ze het gat maar vlug gepatcht.

edit: Ik dacht dat het dit lek was. Het kan ook een andere zijn, er zijn er het laatste jaar zoveel gepasseerd dat je door de bomen het bos niet meer ziet.

[Reactie gewijzigd door BlaDeKke op 10 januari 2013 16:23]

Inderdaad als het niet strikt noodzakelijk is gewoon deinstalleren. Hoe minder software hoe minder mogelijke exploits.

Daarnaast is Secunia PSI een goede, die kan automatisch software patchen indien er nieuwe updates (zowel Microsoft updates als applicatie updates) beschikbaar zijn!

http://secunia.com/vulnerability_scanning/personal/
Het idiote aan Secunia PSI is dat ze voor het weergeven van hun resultaten een Flash player nodig hebben. 8)7
Oracle is slecht bezig, dat is duidelijk. (Zelfs) bij Sun was Java nog in betere handen. Maar dat geklaag op Java en "uninstall het!" en weet ik wat is gewoon overdreven. Zet gewoon je plug-ins op "on demand" en je hebt er geen last meer van - ben je meteen van de Flash-problemen af. Enkele sites white-listen indien handig en klaar ben je.
Het probleem is dat bijna niemand die optie kent om de betreffende plug-ins 'on demand' te zetten.
OpenJDK is een open source project, de beveiligingsproblematiek is een zaak van de hele open source community, niet alleen Oracle.
Ik ontwikkel in o.a. Java, maar de browser plugin heb ik lang geleden al verwijderd.
Het is wel triest hoe onzorgvuldig Oracle met Java omgaat.
Ik heb nog hoop maar vrees het ergste voor de lange termijn.
Idd. Hier ook al tijden van het systeem af..

Het zou eens tijd worden dat de grote OEMs; Sony, HP, Dell etc. Java niet meer voorinstalleren op de systemen die ze leveren. Veel mensen hebben namelijk niet eens door dat het erop staat en daarbij ook nog standaard aanstaat in de browser (IE over het algemeen).
Dit is heel eenvoudig op te lossen mensen, gewoon java uninstallen. Je hebt het echt niet nodig hoor.
Tenzij je Minecraft speelt...
Dan nog steeds heb je de browser plugin niet nodig :)
Dan nog kan je deze waarschijnlijk portable maken door een geinstalleerde versie van java naar de minecraft map te kopieren, minecraft naar die java toe te wijzen en dan java zelf te deinstalleren. Op deze manier wordt het een stuk moeilijker gemaakt om andere java programma's te laten starten.

[Reactie gewijzigd door Katsumii op 10 januari 2013 16:51]

of het zakelijk bankieren van de ING gebruikt. Go ING go |:(
of het zakelijk bankieren van de ING gebruikt. Go ING go |:(
Dan ben ik wel benieuwd welke ING zakelijk jij gebruikt, ik gebruik ING zakelijk namelijk ook en die werkt gewoon zonder Java hier.
ING inside business, die werkt niet zonder java :)

Verder gebruikt zakelijk PostNL nog steeds java voor het uitdraaien van ophaallijsten.

[Reactie gewijzigd door SinergyX op 10 januari 2013 17:34]

Een oplossing is het gebruik maken van meerdere profielen in Firefox. 1 profiel gebruik je met Java ingeschakeld, puur voor ING, en een ander profiel met Java uitgeschakeld voor het overige internet browsen. Shortcutje erbij en je hebt nergens meer last van.
Hoezo ben je dan niet vulnerable _tijdens_ het ING'en?
Je hebt dan toch Java draaien? En bent dan toch vulnerable?
Hoezo ben je dan niet vulnerable _tijdens_ het ING'en?
Je hebt dan toch Java draaien? En bent dan toch vulnerable?
Alleen als je naar een andere site gaat, maar dat is dus juist niet de bedoeling met dat profiel.

Je bent dan dus alleen vulnerable als er een exploit zit in de site van de ING.
Of bankiert bij de Deutsche bank
De plugins in je browser wellicht. Maar er bestaat genoeg goede software die de runtimes gebruikt. JDownloader bijvoorbeeld, en Hibiscus (een Duits banking programma). Zo zijn er vast nog veel meer. En ook applets zoals de driverzoekfuntie van intel heeft Java nodig.
Je bent alleen vatbaar als je de plugin in de browser aan hebt staan. Die kan je gewoon verwijderen. Met de JRE installatie is verder niets mis en kan je gewoon blijven gebruiken voor bijv. Minecraft. Verder ken ik eigenlijk geen java desktop applicaties voor consumenten..

[Reactie gewijzigd door Standeman op 10 januari 2013 16:24]

DirSyncPro (http://www.dirsyncpro.org/) is anders een vrij normaal Java desktop product. Net zoals Azureus en nog wel meer software.
tenzij je DIY Layout Creator gebruikt
nou... SABnzbd... helaas...

Ik moet er bij zeggen dat ik het eigenlijk ook niet wil, een java app draaien in mijn browser, maar sommige websites gebruiken nu eenmaal javaplugins zoals een IRC-kanaal wat alleen via de hoofdsite middels je account te benaderen is in een window (zucht...).

Ik heb dan wel No-Script aanstaan, maar helemaal van java kom ik toch niet af. Voor mezelf is het niet zo erg, ik weet wel waar ik op moet letten en weet ook wel problemen te herkennen in mijn systemen, maar mijn bejaarde moeder natuurlijk niet.
IRC kun je zelfs nog via telnet doen... als je het protocol goed genoeg kent. Gewoon een IRC client installeren en verbinden met de server, werkt prima. :)
SABnzbd is Python, niet Java.... En IRC-en met BitchX werkt ook prima :)

[Reactie gewijzigd door 4np op 12 januari 2013 01:31]

Bieden ze bij jou IRC netwerk dan geen qwebirc client (AJAX based) op de site?

En voor de mensen die zeggen dat je ook custom clients gebruiken kan,
sommige IRC netwerken staan alleen verbindingen via hun website toe (en dus via het ip van de betreffende server.
Als deze server geen software heeft die directe verbindingen van andere clients toe staat, wat ook de bedoeling is dan is het helaas de enige optie)
Het uitzetten van Java in Chrome kan gemakkelijk door chrome://plugins in the adresbalk te steken en dan bij Java op uitschakelen drukken.

In firefox kan je dit door op de alt toets te drukken en dan bij extra naar Add-ons te gaan en daar de Java-plugin uit te schakelen.

In Internet Explorer druk je op het tandwiel icoontje -> invoegtoepassingen beheren -> Java plug-in uitschakelen

[Reactie gewijzigd door SmokingCrop op 10 januari 2013 16:16]

Dit is op zich een aardige oplossing, maar voor zakelijk gebruik haast niet te doen. Het vereist immers de medewerking van gebruikers om java na kortstondig gebruik weer uit te schakelen. Mijn oplossing is om via GPO > User > Administrative Templates > Windows Components > IE > Internet Control Panel > Security Page > Internet zone de optie Disable java te gebruiken. Hierdoor moet een domeinnaam expliciet in de trusted zone opgenomen worden om java te mogen draaien.
Chrome geeft bij mij aan dat het een kritieke beveiligings update heeft.
Sinds laatste versie kan je via "Control Panel\Programs\Java" (Java Control Panel) in het security tabblad de java plugin voor alle browsers in één keer uitschakelen en ook de security settings aanpassen.
Voor Opera gebruikers: opera:plugins in de adresbalk typen en daar Java uitschakelen.
Ik heb in Chrome bij chrome://plugins geen Java staan. Dus ik denk dat je dan wel Java zelf geïnstalleerd moet hebben en dat heb ik dus niet.
Firefox heeft het bij mij automatisch gedaan maar toch bedankt!
Ongelovelijk dat Oracle zo blijft falen bij het uitbrengen van nieuwe versies. Gelukkig heeft 99% van de internetters geen java plugin in de browser nodig, maar dan moeten ze hem wel handmatig uitschakelen. Ik ben benieuwd of Mozilla hem weer standaard uit gooit.

Overigens zit me af te vragen of dit gat ook in de linux / mac versies zit van de plugin? Het lijkt erop dat het windows only is..

[Reactie gewijzigd door Standeman op 10 januari 2013 16:12]

Als alle Java versies vatbaar zijn voor dit probleem, is dat een overblijfsel van Sun. Voordat Oracle Sun overnam had Oracle eigenlijk niet rechtstreeks met consumenten te maken.

Voor bedrijven zijn voorspelbare patch rondes erg belangrijk. Oracle houd 3 maandelijkse patch rondes aan, Microsoft een maandelijkse. ronde

Maar met Java krijgt Oracle ineens te maken met consumenten. En ineens wordt het belangrijk binnen een paar uur danwel dagen met een patch te komen. Dat gaat in tegen de volledige Oracle cultuur. Het zou mij dan ook niet verbazen als Oracle Java doneert aan de Apache foundation..

De bug zit in alle Java versies dus helaas ook in die voor Linux en OSX. Echter het percentage Linux gebruikers is erg laag en vaak draait de JRE in user space en daarnaast zijn er voor Linux ook alternative JRE zoals die van IBM. Dat maakt het lastiger de exploit onder Linux te misbruiken. Daarnaast zijn er in tegenstelling tot Windows weinig virussen voor Linux. Redkit en Blackhole werken daarop gewoon niet.

Dus onder Linux ben je wel vatbaar voor de bug (De Java plugin voor Chrome zal voor Linux niet veel verschillen van die voor Windows), maar is het een stuk lastiger nuttige code te laten uitvoeren..
Die patchrondes zijn er alleen maar voor bedoeld om te voorkomen dat de systeembeheerders ieder dag druk zijn met het installeren van allerlei bugfixes. Je stopt daar dus patches in waarbij je ook de luxe hebt dat je ze gewoon een maand later kunt installeren. Die luxe is er niet bij zaken als 0-day exploits en in zekere zin ook niet voor andere security bugs. Vrijwel iedereen maakt dan ook een uitzondering op hun patchronde wanneer zich zo'n groot security probleem voordoet....behalve Oracle.

Oracle houdt keihard vast aan hun update ronde en wijken daar ook niet bij een 0-day exploit van af (zoals in het artikel al staat: als de patch niet meegenomen kan worden schuiven ze het door naar de volgende ronde). Dat betekent voor de systeembeheerders dat ze een groot probleem hebben (hoe leg je uit dat doordat de leverancier een lakse houding heeft tav 0-day exploits een hacker met bedrijfsgevoelige informatie er vandoor is kunnen gaan?) en voor Oracle betekent dat in zekere zin weer dat hun software daardoor niet interessant is om te gebruiken.

Voorspelbare patchrondes zijn weliswaar heel belangrijk maar daarvan afwijken bij (grote) security problemen is nog veel belangrijker. Op dit vlak heb je namelijk ook met wetgeving van doen zoals de privacy wetgeving waarbij je je niet kunt verschuilen achter "ja maar de leverancier komt niet met een security fix dus daar kunnen wij niks aan doen!" (het typische weerwoord is dan: "Ja en?! Dan had je maar niet met hun in zee moeten gaan. Jouw systeem dus jouw probleem, los het maar op.")
OpenJDK is open source, dus je bent niet van Oracle afhankelijk.
OpenJDK wel ja maar de rest van de spullen niet en die vindt je veel in het bedrijfsleven. Daarnaast betekent open source zijn ook niet dat je ergens niet van afhankelijk bent. Het enige wat het zegt is dat de broncode in zekere mate vrij beschikbaar is. Je zult echter nog atlijd iets met die broncode moeten doen en daarvoor zijn velen toch echt afhankelijk van bedrijven als Oracle. Je kunt niet verwachten dat de gemiddelde gebruiker wel even de source code binnenhengelt, patcht, compiled en vervolgens uitrolt. Dat is werk waarvoor je diepgaande IT kennis nodig hebt.
...
Maar met Java krijgt Oracle ineens te maken met consumenten. En ineens wordt het belangrijk binnen een paar uur danwel dagen met een patch te komen. Dat gaat in tegen de volledige Oracle cultuur. Het zou mij dan ook niet verbazen als Oracle Java doneert aan de Apache foundation..
...
Java is steeds als de hoofdreden genoemd voor de Sun overname. Erg onwaarschijnlijk dat dat weggegeven wordt, al is je opmerking over de bedrijfscultuur raak.
Ik denk dat Oracle dacht veel geld te kunnen verdienen aan patent zaken zoals tegen Google/Android. Aangezien ze daar van een koude kermis zijn thuisgekomen zou het mij niet verbazen als Oracle van Java af wil. Het zou mij verbazen als Java meer oplevert dan het Oracle nu kost.
Oracle gebruikte overal in hun producten al enorm veel java, voor oracle was de overname van sun derhalve een strategische actie, het zou gevaarlijk zijn geweest als Sun was omgevallen of in handen van een concurent was gekomen.

Dus Oracle wil zeer zeker niet van Java af, het is te belangerijk voor vrijwel hun gehele producten pijplijn.
Arjan heeft gelijk, het ging in de eerste plaats om controle. Oracle vond Java te belangrijk om in handen van een 'vijand' te laten vallen. Ze doen wel wat pogingen om aan Java geld te verdienen, maar veel stelt het niet voor, en ik denk eigenlijk ook niet dat het lukt. Toen ik er nog werkte hoorde ik er nooit wat over.
Overigens zit me af te vragen of dit gat ook in de linux / mac versies zit van de plugin? Het lijkt erop dat het windows only is..
Hoe het zit op mac weet ik niet, maar onder linux gebruikt niemand oracle JDK. Iedere moderne distro levert openjdk mee.
Java is niet noodzakelijk maar voor sommige browser games heb je het wel nodig. Ik maak daar geen gebruik van maar anderen vast wel. Java is de laatste tijd wel veel (slecht) in het nieuws..
Jammer dat elke keer weer blijkt dat Java zo lek als een mandje is. Wordt een Windows systeem gehacked door een java lek krijgt meestal Windows ook nog eens de schuld :+ met @Mazza eens dat een driemaandelijkse update ronde beetje weinig is zeker gezien de hoeveelheid zwaktes die keer op keer in Java ontdekt worden.
Het mag natuurlijk ook niet mogelijk zijn dat "windows" wordt gehackt door een lek in java. Dat is net zoiets als Firefox hacken met een lek in IE. Natuurlijk kun je niet voorkomen dat een programma aan bestanden gaat zitten waar het niet aan mag, maar systeembestanden hoor je met geen enkel userspace programma te kunnen wijzigen onder je normale user account. Logisch dat windows dan de schuld krijgt.

En tja, met een driemaandelijkse patchronde kun je net zo goed geen updates uitbrengen. Dan heb je gemiddeld anderhalve maand waarin het lek wordt misbruikt. Nog ergens is het als door trage processen een bug uit januari niet in de update voor februari wordt gefixt, zoals wordt gesuggereerd in het artikel. Ik heb gelukkig in geen enkele browser op geen enkel systeem meer een java plugin. Java programma's is niks mis mee (ik gebruik zelf azureus), maar in de browser heeft het niks te zoeken.
Niet echt nodig is wel erg kort door de bocht. Java wordt in diverse applicaties toegepast. Zeer zeker in bedrijfsmatige toepassingen komt dit nog regelmatig voor.

Een bedrijf met webbased applicaties die gebruik maakt van de java engine kan dit niet zonder meer uitschakelen.

Het is en blijf verbazingwekkend dat Oracle erin blijft slagen een 'lek' product jaar in jaar uit in de lucht te houden terwijl het zo lek als een mandje is.

'java' met al haar beveiligings problemen komt me al jaren de strot uit. Toch maar weer een schietgebedje dat het ooit eens stopt met die zooi of dat ze het eindelijk eens goed beveiligen.
Wat mij verbaasd: dit gaat om de browser plug-in.

Hoeveel mensen hebben die nodig?
Maak daar een aparte download van. Apart bij te werken en indien niet nodig: geen beveiligingsissue.
Helemaal mee eens.

Java als losse runtime op consumenten-machines is nergens voor nodig: de weinige Java desktop-applicaties die er zijn, hebben veelal een ingebouwde runtime en applets zijn zooo 1999 dat er geen enkele reden is om nog standaard een browser-plugin voor Java geinstalleerd te hebben.

Java wordt door Oracle (en eerlijk gezegd ook vroeger door Sun) gemanaged als een enterprise product, met een redelijk lange release-cycle. De belangrijkste attack-vector is echter de consumenten-plugin, servers zijn niet vatbaar voor deze aanval.
Gelukkig heb ik al tijden Java uit staat in Firefox. Heb het alleen nog maar op de PC voor PS3 Media Server...
ja hier ook, wat overigens tegenwoordig ook zo borked is als t maar halen kan, sinds de laatste firmware update loopt t enorm te bokken allemaal
Consumenten schakelen bij voorkeur Java volledig uit.

Mochten er specifieke toepassingen zijn waar je echt Java nodig hebt? Maak dan gebruik van bvb. Virtual Box, waarin je een los OS installeert (bvb. Linux) en gebruik die VM voor die ene applicatie.
En dan zeg je daarvoor nog dat de consumenten Java uitschakelen, en diezelfde consumenten, als het toch echt moet, een VM gebruiken. Hoeveel mensen hebben er volgens jou een VM?
Nergens voor nodig. De browser-plugin is kwetsbaar. Een "losse" Java-(desktop)applicatie is niet gevaarlijker dan een willekeurige andere applicatie. Nergens voor nodig om die in een VM te gaan draaien.

En voor applets: gewoon eventjes de plug-in weer aanzetten.

[Reactie gewijzigd door Herko_ter_Horst op 10 januari 2013 19:14]

En voor applets: gewoon eventjes de plug-in weer aanzetten.
Gaat te makkelijk fout. Een VM moeten opstarten voor een applet (bedoel inderdaad geen losse applicaties) is meer poke-yoke :-)

[Reactie gewijzigd door Keypunchie op 11 januari 2013 19:08]

Als ik voor Minecraft geen Java nodig had, zou ik die nooit installeren op mijn computer, hetzelfde voor flash als elke youtube video in HTML5 beschikbaar was, had ik die ook niet nodig.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Microsoft Apple Games Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013