Nieuw beveiligingsprobleem Java wordt mogelijk al misbruikt
Een beveiligingsonderzoeker heeft een nieuw en ernstig beveiligingsprobleem ontdekt in Java, dat op dit moment wellicht al wordt misbruikt door aanvallers en werkt op een volledig gepatchte Windows-machine. Gebruikers kunnen het beste de Java-plug-in uitschakelen.
De kwetsbaarheid werd eerder op donderdag gemeld door hacker Kafeine op het weblog Malware Don't Need Coffee, maar aanvankelijk was niet duidelijk of zijn claims op waarheid berustten. Beveiligingsbedrijf Alien Vault heeft het beveiligingsprobleem met de informatie die Kafeine beschikbaar heeft gesteld nu weten te reproduceren. Ze wisten eigen code uit te voeren met behulp van het lek, op een volledig gepatchte Windows-installatie met Java.
Er zijn twee redenen waarom het beveiligingsprobleem ernstig is. Allereerst gaat het om een probleem waarvoor nog geen patch bestaat en dat tot voor kort nog niet bekend was, een zogenoemd zero day-beveiligingsprobleem. Daarnaast wordt het lek al in het wild misbruikt, denkt Alien Vault: de exploit kits Blackhole en Nucleair Pack zouden de kwetsbaarheid al opgenomen hebben. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.
Omdat er op dit moment nog geen patch beschikbaar is, is de enige oplossing het uitschakelen van de Java-plug-in in de browser, schrijft Alien Vault. Wat het beveiligingsprobleem precies inhoudt, is echter nog niet geheel duidelijk, al lijkt het erop dat het permissiesysteem van Java om de tuin wordt geleid.
Wanneer het beveiligingsprobleem wordt opgelost, is onduidelijk. De eerstvolgende driemaandelijkse 'patchronde' van Java vindt plaats in februari, maar of deze kwetsbaarheid nog kan worden meegenomen, is onduidelijk. In oktober slaagde Java-eigenaar Oracle er niet in om een ernstig beveiligingsprobleem op tijd te patchen voor de patchronde.
In het afgelopen halfjaar kwamen er verschillende zero day-problemen in Java naar buiten. Een van de patches die een eveneens actief misbruikt Java-lek patchte, introduceerde een nieuw lek. Volgens beveiligingsbedrijf Kaspersky is Java het populairste doelwit van malwareauteurs; in het derde kwartaal van 2012 zou 56 procent van de malware zich op Java hebben gericht.
De onderzoekers van Alien Vault starten met behulp van de exploit vanuit de browser de applicatie calc.exe. Echte malware voert schadelijkere trucs uit.
Reacties (90)
Tevens iets wat voor mijn gevoel nog zeer onbekend is, is de nieuwe ExploitShield applicatie van Zero Vulnerability Labs. Deze applicatie heeft, tot nu toe, elke exploitatie in browsers en Java geblokkeerd. Ze werken niet meer signatures, waardoor ook nieuwe exploits worden geblokkeerd.
Het (gratis) product kan worden gedownload van: http://www.zerovulnerabilitylabs.com/home/. Sinds hun nieuwe versie zijn er geen verhoogde rechten nodig om de applicatie te draaien.
Gisteren nog gezien op tv dat een agent en een deskundige nog uitlegde om het politie virus, dat je je pc gewoon up to date moet houden. kortom dat je zorgt dat al je programmas en virusscanner bijgewerkt hebt, dan heb je gewoon nergens last van..
Offffff....
Wel vreemd dat ik besmette pc's altijd tegenkom met bijgewerkte software en virusscanners. En de systemen van onszelf zonder gekloot netjes vrij kan laten draaien. Hoe kan dat.?
Eerlijk is eerlijk wij blokkeren dan wel allerlij sites en reclame zooi en klikken niet domweg overal op en doen niet zomaar alles op alle systemen... zelfs updaten niet. En toch nooit geen trubs al jaren en jaren lang.
Dus mensen gewoon zorgen dat alles geupdate is dan ben je echt wel veilig hoor....
Blijft de vraag waarom de best geupdate systemen altijd besmet zijn met zooi..
Ik denk dat er geen enkele manier is om in deze huidige tijden gevrijwaard te blijven van infecties. Het enige dat je kan doen is je ze goed mogelijk wapenen en regelmatig een scan van je systeem te laten doen met bijv Hitman Pro. Tips zoals het niet klikken op willekeurige reclame links etc. klinken goed maar voldoen al lang niet meer, zie de recente besmetting van een vertrouwde sites zoals nu.nl. Alleen al het bezoeken van die website was voldoende om besmet te raken en heeft vermoedelijk 100.000 pc's besmet.
Dus ik ga met alle liefde naar NU.nl als daar een besmetting is als je er maar heen surft omdat die besmetting komt zoals meestal via ad netwerken.. dingen zijn soms zo simpel wist je dat..
Webserver-1 sinds 2005 nog nooit geupdate, draait als een tierelier.
Webserver-2 sinds 2008 idiem
Desktop sinds 3 jaar idiem
video systeem 2 jaar idiem
backup sys idiem
2e vidoe sys sinds 2003 idiem
ect
Het kan wel maar je moet weten wat je doet en niet domweg alle siftware instaleren, ook niet officiele zooi wat je bij de huidige telefoon krijgt, zorgt voor veel bagger en gedoe, maar ja we willen zo graag he..
Exstra zooi via sites als feestboek en hyves en zooi, doe maar lekker mee en je pc gaat vanzelf op tilt, doen we niet aan en we zijn echt wel bereikbaar en hebben een zorgeloos leven zonder knipper stress op ons scherm..
De meeste zooi komt nog altijd voort uit meeloperij (nadenkertje)
En als je niet update dan ben je toch echt wel de pineut als ze weten wat ze aan het doen zijn.
Maar helaas ben ik het wel met je eens.
De gemiddelde gebruiker klikt helaas nog steeds zonder te lezen overal op accept en toestaan waar het maar gevraagd wordt
Als Java steeds onder vuur ligt voor zulke exploits, waarom wordt het dan nog gebruikt?
Alleen, wat is het alternatief? Waarmee kun je wél veilig PKI smartcard sessies doorgeven aan de bank server?
.NET based is een alternatief. Ook niet optimaal, maar dat wordt tenminste wel regelmatig bijgewerkt ipv één keer in de drie (als je mazzel hebt) of zes maanden.Alleen, wat is het alternatief? Waarmee kun je wél veilig PKI smartcard sessies doorgeven aan de bank server?
Ik denk dat je javascript bedoeld.
(Edit: raar, de reply staat op de verkeerde plek).
[Reactie gewijzigd door BeerenburgCola op zaterdag 12 januari 2013 10:19]
.Ik lees een hoop mensen hierboven die zeggen zet dan je java uit in je browser maar ik snap niet echt hoe jullie lekker browsen. Ik heb Javascript standaard uitstaan tenzij ik het expliciet toesta voor een website.. Maar er is eigenlijk geen website die ik lekker kan gebruiken zonder dat javascript iets wil doen.
Ik heb geen Java en geen Javascript, kortom: nooit geïnstalleerd vanwege eerdere waarschuwingen. Maar ik browse erg lekker hoor
.[Reactie gewijzigd door Pineka op donderdag 10 januari 2013 19:23]
http://nl.wikipedia.org/w...aal%29#Java_en_JavaScript
*edit, oh.. altijd refreshen voor ik iets plaats*
[Reactie gewijzigd door BuRningFire op donderdag 10 januari 2013 17:08]
De JavaScript-programmeertaal, ontwikkeld door Netscape, Inc., maakt geen deel uit van het Java-platform.
Met JavaScript kunnen geen applets of zelfstandige applicaties worden gemaakt. JavaScript wordt momenteel meestal gebruikt in HTML-documenten. Met JavaScript kan aan webpagina's een mate van interactiviteit worden toegevoegd die gewoonlijk niet met eenvoudige HTML kan worden gerealiseerd.
Dit zijn de belangrijkste verschillen tussen Java en JavaScript:
Java is een OOP-programmeertaal terwijl JavaScript een OOP-scripttaal is.
Met Java worden applicaties gemaakt die in een virtuele machine kunnen worden uitgevoerd. JavaScript-code kan alleen in een browser worden uitgevoerd.
Java-code moet worden gecompileerd, terwijl JavaScript-code enkel uit tekst bestaat.
Voor beide zijn andere plug-ins nodig.
Edit: Spuit11
[Reactie gewijzigd door Charles Nasi op donderdag 10 januari 2013 17:05]
Zondermeer waar.Java en Javascript zijn twee volledig verschillende zaken.
Zondermeer onzin.[...]
Dit zijn de belangrijkste verschillen tussen Java en JavaScript:
Java is een OOP-programmeertaal terwijl JavaScript een OOP-scripttaal is.
Met Java worden applicaties gemaakt die in een virtuele machine kunnen worden uitgevoerd. JavaScript-code kan alleen in een browser worden uitgevoerd.
Java-code moet worden gecompileerd, terwijl JavaScript-code enkel uit tekst bestaat.
Voor beide zijn andere plug-ins nodig.
Edit: Spuit11
Er is maar 1 verschil dat er toe doet: Java is statically typed, terwijl JavaScript dynamically typed is.
JavaScript kan namelijk net als Java in een VM draaien en er zijn ook JavaScript compilers en zelfs JavaScript servers. Nog sterker: er is zelfs een Java Virtual Machine geschreven in JavaScript!
Java wordt meer gebruikt als echte web applicaties, zoals een filemanager geïmplenteerd op een website (in Webmin wordt dit oa gebruikt).
Veel doorsnee eindgebruikers hebben denk ik weinig te maken met Java in hun dagelijkse surf sessies. Beste lijkt me uitschakelen, of zo instellen dat expliciet toestemming nodig is voor het uitvbvoeren van applets op websites.
Java en Javascript zijn verschillende dingen...Ik lees een hoop mensen hierboven die zeggen zet dan je java uit in je browser maar ik snap niet echt hoe jullie lekker browsen. Ik heb Javascript standaard uitstaan tenzij ik het expliciet toesta voor een website.. Maar er is eigenlijk geen website die ik lekker kan gebruiken zonder dat javascript iets wil doen.
.Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
