Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 90, views: 30.764 •

Een beveiligingsonderzoeker heeft een nieuw en ernstig beveiligingsprobleem ontdekt in Java, dat op dit moment wellicht al wordt misbruikt door aanvallers en werkt op een volledig gepatchte Windows-machine. Gebruikers kunnen het beste de Java-plug-in uitschakelen.

De kwetsbaarheid werd eerder op donderdag gemeld door hacker Kafeine op het weblog Malware Don't Need Coffee, maar aanvankelijk was niet duidelijk of zijn claims op waarheid berustten. Beveiligingsbedrijf Alien Vault heeft het beveiligingsprobleem met de informatie die Kafeine beschikbaar heeft gesteld nu weten te reproduceren. Ze wisten eigen code uit te voeren met behulp van het lek, op een volledig gepatchte Windows-installatie met Java.

Er zijn twee redenen waarom het beveiligingsprobleem ernstig is. Allereerst gaat het om een probleem waarvoor nog geen patch bestaat en dat tot voor kort nog niet bekend was, een zogenoemd zero day-beveiligingsprobleem. Daarnaast wordt het lek al in het wild misbruikt, denkt Alien Vault: de exploit kits Blackhole en Nucleair Pack zouden de kwetsbaarheid al opgenomen hebben. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Omdat er op dit moment nog geen patch beschikbaar is, is de enige oplossing het uitschakelen van de Java-plug-in in de browser, schrijft Alien Vault. Wat het beveiligingsprobleem precies inhoudt, is echter nog niet geheel duidelijk, al lijkt het erop dat het permissiesysteem van Java om de tuin wordt geleid.

Wanneer het beveiligingsprobleem wordt opgelost, is onduidelijk. De eerstvolgende driemaandelijkse 'patchronde' van Java vindt plaats in februari, maar of deze kwetsbaarheid nog kan worden meegenomen, is onduidelijk. In oktober slaagde Java-eigenaar Oracle er niet in om een ernstig beveiligingsprobleem op tijd te patchen voor de patchronde.

In het afgelopen halfjaar kwamen er verschillende zero day-problemen in Java naar buiten. Een van de patches die een eveneens actief misbruikt Java-lek patchte, introduceerde een nieuw lek. Volgens beveiligingsbedrijf Kaspersky is Java het populairste doelwit van malwareauteurs; in het derde kwartaal van 2012 zou 56 procent van de malware zich op Java hebben gericht.

Calc.exe geopend via java zero day

De onderzoekers van Alien Vault starten met behulp van de exploit vanuit de browser de applicatie calc.exe. Echte malware voert schadelijkere trucs uit.

Reacties (90)

Ik ben blij dat ik Java nergens voor gebruik. Ik heb het dan ook al een jaar niet meer geinstalleerd staan. Juist om de reden dat het de focus heeft van veel hackers.

En drie-maandelijkse update rondes? Hoe uit de tijd is dat. Ik mag toch hopen dat ze tussendoor voor dit soort veiligheidsgaten uitzonderingen maken.
Dit is heel eenvoudig op te lossen mensen, gewoon java uninstallen. Je hebt het echt niet nodig hoor.
Het uitzetten van Java in Chrome kan gemakkelijk door chrome://plugins in the adresbalk te steken en dan bij Java op uitschakelen drukken.

In firefox kan je dit door op de alt toets te drukken en dan bij extra naar Add-ons te gaan en daar de Java-plugin uit te schakelen.

In Internet Explorer druk je op het tandwiel icoontje -> invoegtoepassingen beheren -> Java plug-in uitschakelen

[Reactie gewijzigd door SmokingCrop op 10 januari 2013 16:16]

Ongelovelijk dat Oracle zo blijft falen bij het uitbrengen van nieuwe versies. Gelukkig heeft 99% van de internetters geen java plugin in de browser nodig, maar dan moeten ze hem wel handmatig uitschakelen. Ik ben benieuwd of Mozilla hem weer standaard uit gooit.

Overigens zit me af te vragen of dit gat ook in de linux / mac versies zit van de plugin? Het lijkt erop dat het windows only is..

[Reactie gewijzigd door Standeman op 10 januari 2013 16:12]

Java is niet noodzakelijk maar voor sommige browser games heb je het wel nodig. Ik maak daar geen gebruik van maar anderen vast wel. Java is de laatste tijd wel veel (slecht) in het nieuws..
Jammer dat elke keer weer blijkt dat Java zo lek als een mandje is. Wordt een Windows systeem gehacked door een java lek krijgt meestal Windows ook nog eens de schuld :+ met @Mazza eens dat een driemaandelijkse update ronde beetje weinig is zeker gezien de hoeveelheid zwaktes die keer op keer in Java ontdekt worden.
Tenzij je Minecraft speelt...
Niet echt nodig is wel erg kort door de bocht. Java wordt in diverse applicaties toegepast. Zeer zeker in bedrijfsmatige toepassingen komt dit nog regelmatig voor.

Een bedrijf met webbased applicaties die gebruik maakt van de java engine kan dit niet zonder meer uitschakelen.

Het is en blijf verbazingwekkend dat Oracle erin blijft slagen een 'lek' product jaar in jaar uit in de lucht te houden terwijl het zo lek als een mandje is.

'java' met al haar beveiligings problemen komt me al jaren de strot uit. Toch maar weer een schietgebedje dat het ooit eens stopt met die zooi of dat ze het eindelijk eens goed beveiligen.
Gelukkig heb ik al tijden Java uit staat in Firefox. Heb het alleen nog maar op de PC voor PS3 Media Server...
of het zakelijk bankieren van de ING gebruikt. Go ING go |:(
Of bankiert bij de Deutsche bank
Consumenten schakelen bij voorkeur Java volledig uit.

Mochten er specifieke toepassingen zijn waar je echt Java nodig hebt? Maak dan gebruik van bvb. Virtual Box, waarin je een los OS installeert (bvb. Linux) en gebruik die VM voor die ene applicatie.
De plugins in je browser wellicht. Maar er bestaat genoeg goede software die de runtimes gebruikt. JDownloader bijvoorbeeld, en Hibiscus (een Duits banking programma). Zo zijn er vast nog veel meer. En ook applets zoals de driverzoekfuntie van intel heeft Java nodig.
En drie-maandelijkse update rondes? Hoe uit de tijd is dat. Ik mag toch hopen dat ze tussendoor voor dit soort veiligheidsgaten uitzonderingen maken.
Ik hoop hetzelfde.
Vorig jaar ergens in september las ik nog dat oracle zelfs bij een beveiligingsprobleeem die al misbruikt werd er geen uitzondering op maakte totdat er een enorme druk vanuit de community kwam. Dan hebben ze het gat maar vlug gepatcht.

edit: Ik dacht dat het dit lek was. Het kan ook een andere zijn, er zijn er het laatste jaar zoveel gepasseerd dat je door de bomen het bos niet meer ziet.

[Reactie gewijzigd door BlaDeKke op 10 januari 2013 16:23]

Je bent alleen vatbaar als je de plugin in de browser aan hebt staan. Die kan je gewoon verwijderen. Met de JRE installatie is verder niets mis en kan je gewoon blijven gebruiken voor bijv. Minecraft. Verder ken ik eigenlijk geen java desktop applicaties voor consumenten..

[Reactie gewijzigd door Standeman op 10 januari 2013 16:24]

Als ik voor Minecraft geen Java nodig had, zou ik die nooit installeren op mijn computer, hetzelfde voor flash als elke youtube video in HTML5 beschikbaar was, had ik die ook niet nodig.
Dit is op zich een aardige oplossing, maar voor zakelijk gebruik haast niet te doen. Het vereist immers de medewerking van gebruikers om java na kortstondig gebruik weer uit te schakelen. Mijn oplossing is om via GPO > User > Administrative Templates > Windows Components > IE > Internet Control Panel > Security Page > Internet zone de optie Disable java te gebruiken. Hierdoor moet een domeinnaam expliciet in de trusted zone opgenomen worden om java te mogen draaien.
En dan zeg je daarvoor nog dat de consumenten Java uitschakelen, en diezelfde consumenten, als het toch echt moet, een VM gebruiken. Hoeveel mensen hebben er volgens jou een VM?
Dan nog steeds heb je de browser plugin niet nodig :)

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBDesktops

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013