Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties, 31.109 views •

Een beveiligingsonderzoeker heeft een nieuw en ernstig beveiligingsprobleem ontdekt in Java, dat op dit moment wellicht al wordt misbruikt door aanvallers en werkt op een volledig gepatchte Windows-machine. Gebruikers kunnen het beste de Java-plug-in uitschakelen.

De kwetsbaarheid werd eerder op donderdag gemeld door hacker Kafeine op het weblog Malware Don't Need Coffee, maar aanvankelijk was niet duidelijk of zijn claims op waarheid berustten. Beveiligingsbedrijf Alien Vault heeft het beveiligingsprobleem met de informatie die Kafeine beschikbaar heeft gesteld nu weten te reproduceren. Ze wisten eigen code uit te voeren met behulp van het lek, op een volledig gepatchte Windows-installatie met Java.

Er zijn twee redenen waarom het beveiligingsprobleem ernstig is. Allereerst gaat het om een probleem waarvoor nog geen patch bestaat en dat tot voor kort nog niet bekend was, een zogenoemd zero day-beveiligingsprobleem. Daarnaast wordt het lek al in het wild misbruikt, denkt Alien Vault: de exploit kits Blackhole en Nucleair Pack zouden de kwetsbaarheid al opgenomen hebben. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Omdat er op dit moment nog geen patch beschikbaar is, is de enige oplossing het uitschakelen van de Java-plug-in in de browser, schrijft Alien Vault. Wat het beveiligingsprobleem precies inhoudt, is echter nog niet geheel duidelijk, al lijkt het erop dat het permissiesysteem van Java om de tuin wordt geleid.

Wanneer het beveiligingsprobleem wordt opgelost, is onduidelijk. De eerstvolgende driemaandelijkse 'patchronde' van Java vindt plaats in februari, maar of deze kwetsbaarheid nog kan worden meegenomen, is onduidelijk. In oktober slaagde Java-eigenaar Oracle er niet in om een ernstig beveiligingsprobleem op tijd te patchen voor de patchronde.

In het afgelopen halfjaar kwamen er verschillende zero day-problemen in Java naar buiten. Een van de patches die een eveneens actief misbruikt Java-lek patchte, introduceerde een nieuw lek. Volgens beveiligingsbedrijf Kaspersky is Java het populairste doelwit van malwareauteurs; in het derde kwartaal van 2012 zou 56 procent van de malware zich op Java hebben gericht.

Calc.exe geopend via java zero day

De onderzoekers van Alien Vault starten met behulp van de exploit vanuit de browser de applicatie calc.exe. Echte malware voert schadelijkere trucs uit.

Reacties (90)

Reactiefilter:-190087+172+28+32
Moderatie-faq Wijzig weergave
OpenJDK wel ja maar de rest van de spullen niet en die vindt je veel in het bedrijfsleven. Daarnaast betekent open source zijn ook niet dat je ergens niet van afhankelijk bent. Het enige wat het zegt is dat de broncode in zekere mate vrij beschikbaar is. Je zult echter nog atlijd iets met die broncode moeten doen en daarvoor zijn velen toch echt afhankelijk van bedrijven als Oracle. Je kunt niet verwachten dat de gemiddelde gebruiker wel even de source code binnenhengelt, patcht, compiled en vervolgens uitrolt. Dat is werk waarvoor je diepgaande IT kennis nodig hebt.
Dit werkt misschien voor jou met je webservers maar zodra een paar mensen die weten wat ze doen het op jou servers specifiek gemunt hebben is een simpel scannetje zo gedaan hoor ;)

En als je niet update dan ben je toch echt wel de pineut als ze weten wat ze aan het doen zijn.

Maar helaas ben ik het wel met je eens.

De gemiddelde gebruiker klikt helaas nog steeds zonder te lezen overal op accept en toestaan waar het maar gevraagd wordt :S
Bieden ze bij jou IRC netwerk dan geen qwebirc client (AJAX based) op de site?

En voor de mensen die zeggen dat je ook custom clients gebruiken kan,
sommige IRC netwerken staan alleen verbindingen via hun website toe (en dus via het ip van de betreffende server.
Als deze server geen software heeft die directe verbindingen van andere clients toe staat, wat ook de bedoeling is dan is het helaas de enige optie)
bedankt voor de mededeling alles is nu uit, voor het geval dat
Zoals ik al zei wij blokkeren site/url's waaronder reclame netwerken.

Dus ik ga met alle liefde naar NU.nl als daar een besmetting is als je er maar heen surft omdat die besmetting komt zoals meestal via ad netwerken.. dingen zijn soms zo simpel wist je dat..

Webserver-1 sinds 2005 nog nooit geupdate, draait als een tierelier.
Webserver-2 sinds 2008 idiem
Desktop sinds 3 jaar idiem
video systeem 2 jaar idiem
backup sys idiem
2e vidoe sys sinds 2003 idiem
ect

Het kan wel maar je moet weten wat je doet en niet domweg alle siftware instaleren, ook niet officiele zooi wat je bij de huidige telefoon krijgt, zorgt voor veel bagger en gedoe, maar ja we willen zo graag he..
Exstra zooi via sites als feestboek en hyves en zooi, doe maar lekker mee en je pc gaat vanzelf op tilt, doen we niet aan en we zijn echt wel bereikbaar en hebben een zorgeloos leven zonder knipper stress op ons scherm..

De meeste zooi komt nog altijd voort uit meeloperij (nadenkertje)
SABnzbd is Python, niet Java.... En IRC-en met BitchX werkt ook prima :)

[Reactie gewijzigd door 4np op 12 januari 2013 01:31]

Arjan heeft gelijk, het ging in de eerste plaats om controle. Oracle vond Java te belangrijk om in handen van een 'vijand' te laten vallen. Ze doen wel wat pogingen om aan Java geld te verdienen, maar veel stelt het niet voor, en ik denk eigenlijk ook niet dat het lukt. Toen ik er nog werkte hoorde ik er nooit wat over.
En voor applets: gewoon eventjes de plug-in weer aanzetten.
Gaat te makkelijk fout. Een VM moeten opstarten voor een applet (bedoel inderdaad geen losse applicaties) is meer poke-yoke :-)

[Reactie gewijzigd door Keypunchie op 11 januari 2013 19:08]

Ik heb het er meteen vanaf gegooid ook na dat ik dit had gepost :P
Als ik Java uitzet werkt er bijna niets meer. De ene site na de andere werkt dan niet.
Alright, ik voel me wel even een rasechte n00b nu! Bedankt voor de uitleg, ik zal nu wel weer stil zijn ;).
Ik lees een hoop mensen hierboven die zeggen zet dan je java uit in je browser maar ik snap niet echt hoe jullie lekker browsen. Ik heb Javascript standaard uitstaan tenzij ik het expliciet toesta voor een website.. Maar er is eigenlijk geen website die ik lekker kan gebruiken zonder dat javascript iets wil doen.
Consumenten schakelen bij voorkeur Java volledig uit.

Mochten er specifieke toepassingen zijn waar je echt Java nodig hebt? Maak dan gebruik van bvb. Virtual Box, waarin je een los OS installeert (bvb. Linux) en gebruik die VM voor die ene applicatie.
Dit is heel eenvoudig op te lossen mensen, gewoon java uninstallen. Je hebt het echt niet nodig hoor.
@Pepsichoco:
Ik denk dat je javascript bedoeld.

(Edit: raar, de reply staat op de verkeerde plek).

[Reactie gewijzigd door BeerenburgCola op 12 januari 2013 10:19]

OpenJDK is open source, dus je bent niet van Oracle afhankelijk.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True