Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties, 31.063 views •

Een beveiligingsonderzoeker heeft een nieuw en ernstig beveiligingsprobleem ontdekt in Java, dat op dit moment wellicht al wordt misbruikt door aanvallers en werkt op een volledig gepatchte Windows-machine. Gebruikers kunnen het beste de Java-plug-in uitschakelen.

De kwetsbaarheid werd eerder op donderdag gemeld door hacker Kafeine op het weblog Malware Don't Need Coffee, maar aanvankelijk was niet duidelijk of zijn claims op waarheid berustten. Beveiligingsbedrijf Alien Vault heeft het beveiligingsprobleem met de informatie die Kafeine beschikbaar heeft gesteld nu weten te reproduceren. Ze wisten eigen code uit te voeren met behulp van het lek, op een volledig gepatchte Windows-installatie met Java.

Er zijn twee redenen waarom het beveiligingsprobleem ernstig is. Allereerst gaat het om een probleem waarvoor nog geen patch bestaat en dat tot voor kort nog niet bekend was, een zogenoemd zero day-beveiligingsprobleem. Daarnaast wordt het lek al in het wild misbruikt, denkt Alien Vault: de exploit kits Blackhole en Nucleair Pack zouden de kwetsbaarheid al opgenomen hebben. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Omdat er op dit moment nog geen patch beschikbaar is, is de enige oplossing het uitschakelen van de Java-plug-in in de browser, schrijft Alien Vault. Wat het beveiligingsprobleem precies inhoudt, is echter nog niet geheel duidelijk, al lijkt het erop dat het permissiesysteem van Java om de tuin wordt geleid.

Wanneer het beveiligingsprobleem wordt opgelost, is onduidelijk. De eerstvolgende driemaandelijkse 'patchronde' van Java vindt plaats in februari, maar of deze kwetsbaarheid nog kan worden meegenomen, is onduidelijk. In oktober slaagde Java-eigenaar Oracle er niet in om een ernstig beveiligingsprobleem op tijd te patchen voor de patchronde.

In het afgelopen halfjaar kwamen er verschillende zero day-problemen in Java naar buiten. Een van de patches die een eveneens actief misbruikt Java-lek patchte, introduceerde een nieuw lek. Volgens beveiligingsbedrijf Kaspersky is Java het populairste doelwit van malwareauteurs; in het derde kwartaal van 2012 zou 56 procent van de malware zich op Java hebben gericht.

Calc.exe geopend via java zero day

De onderzoekers van Alien Vault starten met behulp van de exploit vanuit de browser de applicatie calc.exe. Echte malware voert schadelijkere trucs uit.

Reacties (90)

Reactiefilter:-190087+172+28+32
Moderatie-faq Wijzig weergave
bedankt voor de mededeling alles is nu uit, voor het geval dat
Alright, ik voel me wel even een rasechte n00b nu! Bedankt voor de uitleg, ik zal nu wel weer stil zijn ;).
Niet echt nodig is wel erg kort door de bocht. Java wordt in diverse applicaties toegepast. Zeer zeker in bedrijfsmatige toepassingen komt dit nog regelmatig voor.

Een bedrijf met webbased applicaties die gebruik maakt van de java engine kan dit niet zonder meer uitschakelen.

Het is en blijf verbazingwekkend dat Oracle erin blijft slagen een 'lek' product jaar in jaar uit in de lucht te houden terwijl het zo lek als een mandje is.

'java' met al haar beveiligings problemen komt me al jaren de strot uit. Toch maar weer een schietgebedje dat het ooit eens stopt met die zooi of dat ze het eindelijk eens goed beveiligen.
Het is en blijf verbazingwekkend dat Oracle erin blijft slagen een 'lek' product jaar in jaar uit in de lucht te houden terwijl het zo lek als een mandje is.
Ik ken nog wel een hele grote jongen in software land die dat ook jaren en jaren gedaan heeft. ;)

gr
Wat mij verbaasd: dit gaat om de browser plug-in.

Hoeveel mensen hebben die nodig?
Maak daar een aparte download van. Apart bij te werken en indien niet nodig: geen beveiligingsissue.
Helemaal mee eens.

Java als losse runtime op consumenten-machines is nergens voor nodig: de weinige Java desktop-applicaties die er zijn, hebben veelal een ingebouwde runtime en applets zijn zooo 1999 dat er geen enkele reden is om nog standaard een browser-plugin voor Java geinstalleerd te hebben.

Java wordt door Oracle (en eerlijk gezegd ook vroeger door Sun) gemanaged als een enterprise product, met een redelijk lange release-cycle. De belangrijkste attack-vector is echter de consumenten-plugin, servers zijn niet vatbaar voor deze aanval.
Als ik Java uitzet werkt er bijna niets meer. De ene site na de andere werkt dan niet.
@Pepsichoco:
Ik denk dat je javascript bedoeld.

(Edit: raar, de reply staat op de verkeerde plek).

[Reactie gewijzigd door BeerenburgCola op 12 januari 2013 10:19]

Wat voor een sites gebruik jij dan? Ik draai al jaren zonder java en ben nog nooit een site tegengekomen waar ik java absoluut nodig had
Consumenten schakelen bij voorkeur Java volledig uit.

Mochten er specifieke toepassingen zijn waar je echt Java nodig hebt? Maak dan gebruik van bvb. Virtual Box, waarin je een los OS installeert (bvb. Linux) en gebruik die VM voor die ene applicatie.
Nergens voor nodig. De browser-plugin is kwetsbaar. Een "losse" Java-(desktop)applicatie is niet gevaarlijker dan een willekeurige andere applicatie. Nergens voor nodig om die in een VM te gaan draaien.

En voor applets: gewoon eventjes de plug-in weer aanzetten.

[Reactie gewijzigd door Herko_ter_Horst op 10 januari 2013 19:14]

En voor applets: gewoon eventjes de plug-in weer aanzetten.
Gaat te makkelijk fout. Een VM moeten opstarten voor een applet (bedoel inderdaad geen losse applicaties) is meer poke-yoke :-)

[Reactie gewijzigd door Keypunchie op 11 januari 2013 19:08]

En dan zeg je daarvoor nog dat de consumenten Java uitschakelen, en diezelfde consumenten, als het toch echt moet, een VM gebruiken. Hoeveel mensen hebben er volgens jou een VM?
Werkt die zero day lek ook als je HIPS heb draaien op je pc?
Is bekend wat voor consequenties dit probleem heeft voor OSes anders dan Windows?
En waarom niet Sandboxie installeren en de webbrowser in een Sandbox draaien? Dan kan Java er niet bij - en mocht het nodig zijn - kan de gebruiker zonder te moeten uninstallen en installen of plugins in- en uitschakelen switchen.
Als ik voor Minecraft geen Java nodig had, zou ik die nooit installeren op mijn computer, hetzelfde voor flash als elke youtube video in HTML5 beschikbaar was, had ik die ook niet nodig.
Java is niet noodzakelijk maar voor sommige browser games heb je het wel nodig. Ik maak daar geen gebruik van maar anderen vast wel. Java is de laatste tijd wel veel (slecht) in het nieuws..

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True