Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 90, views: 30.818 •

Een beveiligingsonderzoeker heeft een nieuw en ernstig beveiligingsprobleem ontdekt in Java, dat op dit moment wellicht al wordt misbruikt door aanvallers en werkt op een volledig gepatchte Windows-machine. Gebruikers kunnen het beste de Java-plug-in uitschakelen.

De kwetsbaarheid werd eerder op donderdag gemeld door hacker Kafeine op het weblog Malware Don't Need Coffee, maar aanvankelijk was niet duidelijk of zijn claims op waarheid berustten. Beveiligingsbedrijf Alien Vault heeft het beveiligingsprobleem met de informatie die Kafeine beschikbaar heeft gesteld nu weten te reproduceren. Ze wisten eigen code uit te voeren met behulp van het lek, op een volledig gepatchte Windows-installatie met Java.

Er zijn twee redenen waarom het beveiligingsprobleem ernstig is. Allereerst gaat het om een probleem waarvoor nog geen patch bestaat en dat tot voor kort nog niet bekend was, een zogenoemd zero day-beveiligingsprobleem. Daarnaast wordt het lek al in het wild misbruikt, denkt Alien Vault: de exploit kits Blackhole en Nucleair Pack zouden de kwetsbaarheid al opgenomen hebben. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Omdat er op dit moment nog geen patch beschikbaar is, is de enige oplossing het uitschakelen van de Java-plug-in in de browser, schrijft Alien Vault. Wat het beveiligingsprobleem precies inhoudt, is echter nog niet geheel duidelijk, al lijkt het erop dat het permissiesysteem van Java om de tuin wordt geleid.

Wanneer het beveiligingsprobleem wordt opgelost, is onduidelijk. De eerstvolgende driemaandelijkse 'patchronde' van Java vindt plaats in februari, maar of deze kwetsbaarheid nog kan worden meegenomen, is onduidelijk. In oktober slaagde Java-eigenaar Oracle er niet in om een ernstig beveiligingsprobleem op tijd te patchen voor de patchronde.

In het afgelopen halfjaar kwamen er verschillende zero day-problemen in Java naar buiten. Een van de patches die een eveneens actief misbruikt Java-lek patchte, introduceerde een nieuw lek. Volgens beveiligingsbedrijf Kaspersky is Java het populairste doelwit van malwareauteurs; in het derde kwartaal van 2012 zou 56 procent van de malware zich op Java hebben gericht.

Calc.exe geopend via java zero day

De onderzoekers van Alien Vault starten met behulp van de exploit vanuit de browser de applicatie calc.exe. Echte malware voert schadelijkere trucs uit.

Reacties (90)

bedankt voor de mededeling alles is nu uit, voor het geval dat
Wat ik mis in het artikel is informatie over de nieuwe disable functie die Oracle in Java 7 Update 10 heeft geintroduceerd. Via Configuratiescherm --> Java kan onder het Security tabblad "Enable Java content in the browser" worden uitgevinkt. Hiermee is nog steeds Java beschikbaar voor je applicaties, maar kan deze niet worden uitgevoerd/geexploiteerd door websites. Je kan tevens het security niveau instellen wat je voor applets wilt hanteren (zoals alleen het uitvoeren van applets met een vertrouwd certificaat).

Tevens iets wat voor mijn gevoel nog zeer onbekend is, is de nieuwe ExploitShield applicatie van Zero Vulnerability Labs. Deze applicatie heeft, tot nu toe, elke exploitatie in browsers en Java geblokkeerd. Ze werken niet meer signatures, waardoor ook nieuwe exploits worden geblokkeerd.
Het (gratis) product kan worden gedownload van: http://www.zerovulnerabilitylabs.com/home/. Sinds hun nieuwe versie zijn er geen verhoogde rechten nodig om de applicatie te draaien.
Werkt die zero day lek ook als je HIPS heb draaien op je pc?
Niks aan de hand, wat een paniek zeg.

Gisteren nog gezien op tv dat een agent en een deskundige nog uitlegde om het politie virus, dat je je pc gewoon up to date moet houden. kortom dat je zorgt dat al je programmas en virusscanner bijgewerkt hebt, dan heb je gewoon nergens last van..

Offffff....

Wel vreemd dat ik besmette pc's altijd tegenkom met bijgewerkte software en virusscanners. En de systemen van onszelf zonder gekloot netjes vrij kan laten draaien. Hoe kan dat.?
Eerlijk is eerlijk wij blokkeren dan wel allerlij sites en reclame zooi en klikken niet domweg overal op en doen niet zomaar alles op alle systemen... zelfs updaten niet. En toch nooit geen trubs al jaren en jaren lang.

Dus mensen gewoon zorgen dat alles geupdate is dan ben je echt wel veilig hoor....

Blijft de vraag waarom de best geupdate systemen altijd besmet zijn met zooi..
Je systeem niet updaten is dom. Een bijgewerkt systeem is geen garantie dat je nooit problemen zult krijgen maar bewust met veiligheidslekken in je systeem het internet op gaan is de goden verzoeken.

Ik denk dat er geen enkele manier is om in deze huidige tijden gevrijwaard te blijven van infecties. Het enige dat je kan doen is je ze goed mogelijk wapenen en regelmatig een scan van je systeem te laten doen met bijv Hitman Pro. Tips zoals het niet klikken op willekeurige reclame links etc. klinken goed maar voldoen al lang niet meer, zie de recente besmetting van een vertrouwde sites zoals nu.nl. Alleen al het bezoeken van die website was voldoende om besmet te raken en heeft vermoedelijk 100.000 pc's besmet.
Zoals ik al zei wij blokkeren site/url's waaronder reclame netwerken.

Dus ik ga met alle liefde naar NU.nl als daar een besmetting is als je er maar heen surft omdat die besmetting komt zoals meestal via ad netwerken.. dingen zijn soms zo simpel wist je dat..

Webserver-1 sinds 2005 nog nooit geupdate, draait als een tierelier.
Webserver-2 sinds 2008 idiem
Desktop sinds 3 jaar idiem
video systeem 2 jaar idiem
backup sys idiem
2e vidoe sys sinds 2003 idiem
ect

Het kan wel maar je moet weten wat je doet en niet domweg alle siftware instaleren, ook niet officiele zooi wat je bij de huidige telefoon krijgt, zorgt voor veel bagger en gedoe, maar ja we willen zo graag he..
Exstra zooi via sites als feestboek en hyves en zooi, doe maar lekker mee en je pc gaat vanzelf op tilt, doen we niet aan en we zijn echt wel bereikbaar en hebben een zorgeloos leven zonder knipper stress op ons scherm..

De meeste zooi komt nog altijd voort uit meeloperij (nadenkertje)
Dit werkt misschien voor jou met je webservers maar zodra een paar mensen die weten wat ze doen het op jou servers specifiek gemunt hebben is een simpel scannetje zo gedaan hoor ;)

En als je niet update dan ben je toch echt wel de pineut als ze weten wat ze aan het doen zijn.

Maar helaas ben ik het wel met je eens.

De gemiddelde gebruiker klikt helaas nog steeds zonder te lezen overal op accept en toestaan waar het maar gevraagd wordt :S
De nieuwe ING Business payments werkt grappig genoeg met Java, daar moet je dus java voor ingeschakeld hebben (java, dus niet javascript).

Als Java steeds onder vuur ligt voor zulke exploits, waarom wordt het dan nog gebruikt?
Bij mijn weten wil de ING er dan ook zo snel mogelijk van af, je wil geen besmette klant pc's op je geweten hebben... Ook al is het software van derden die je niet zelf uitgeeft.

Alleen, wat is het alternatief? Waarmee kun je wél veilig PKI smartcard sessies doorgeven aan de bank server?
Alleen, wat is het alternatief? Waarmee kun je wél veilig PKI smartcard sessies doorgeven aan de bank server?
.NET based is een alternatief. Ook niet optimaal, maar dat wordt tenminste wel regelmatig bijgewerkt ipv één keer in de drie (als je mazzel hebt) of zes maanden.
Als ik Java uitzet werkt er bijna niets meer. De ene site na de andere werkt dan niet.
@Pepsichoco:
Ik denk dat je javascript bedoeld.

(Edit: raar, de reply staat op de verkeerde plek).

[Reactie gewijzigd door BeerenburgCola op 12 januari 2013 10:19]

Wat voor een sites gebruik jij dan? Ik draai al jaren zonder java en ben nog nooit een site tegengekomen waar ik java absoluut nodig had
Alright, ik voel me wel even een rasechte n00b nu! Bedankt voor de uitleg, ik zal nu wel weer stil zijn ;).
Ik lees een hoop mensen hierboven die zeggen zet dan je java uit in je browser maar ik snap niet echt hoe jullie lekker browsen. Ik heb Javascript standaard uitstaan tenzij ik het expliciet toesta voor een website.. Maar er is eigenlijk geen website die ik lekker kan gebruiken zonder dat javascript iets wil doen.
Ircghost zegt:
Ik lees een hoop mensen hierboven die zeggen zet dan je java uit in je browser maar ik snap niet echt hoe jullie lekker browsen. Ik heb Javascript standaard uitstaan tenzij ik het expliciet toesta voor een website.. Maar er is eigenlijk geen website die ik lekker kan gebruiken zonder dat javascript iets wil doen.

Ik heb geen Java en geen Javascript, kortom: nooit geïnstalleerd vanwege eerdere waarschuwingen. Maar ik browse erg lekker hoor :9 .

[Reactie gewijzigd door Pineka op 10 januari 2013 19:23]

Java en JavaScript zijn niet hetzelfde. Het gaat hierom om Java, niet om JavaScript.

http://nl.wikipedia.org/w...aal%29#Java_en_JavaScript

*edit, oh.. altijd refreshen voor ik iets plaats*

[Reactie gewijzigd door Tacow op 10 januari 2013 17:08]

Java en Javascript zijn twee volledig verschillende zaken. Van Java.com:

De JavaScript-programmeertaal, ontwikkeld door Netscape, Inc., maakt geen deel uit van het Java-platform.
Met JavaScript kunnen geen applets of zelfstandige applicaties worden gemaakt. JavaScript wordt momenteel meestal gebruikt in HTML-documenten. Met JavaScript kan aan webpagina's een mate van interactiviteit worden toegevoegd die gewoonlijk niet met eenvoudige HTML kan worden gerealiseerd.

Dit zijn de belangrijkste verschillen tussen Java en JavaScript:
Java is een OOP-programmeertaal terwijl JavaScript een OOP-scripttaal is.
Met Java worden applicaties gemaakt die in een virtuele machine kunnen worden uitgevoerd. JavaScript-code kan alleen in een browser worden uitgevoerd.
Java-code moet worden gecompileerd, terwijl JavaScript-code enkel uit tekst bestaat.
Voor beide zijn andere plug-ins nodig.

Edit: Spuit11

[Reactie gewijzigd door Charles Nasi op 10 januari 2013 17:05]

Java en Javascript zijn twee volledig verschillende zaken.
Zondermeer waar.
[...]

Dit zijn de belangrijkste verschillen tussen Java en JavaScript:
Java is een OOP-programmeertaal terwijl JavaScript een OOP-scripttaal is.
Met Java worden applicaties gemaakt die in een virtuele machine kunnen worden uitgevoerd. JavaScript-code kan alleen in een browser worden uitgevoerd.
Java-code moet worden gecompileerd, terwijl JavaScript-code enkel uit tekst bestaat.
Voor beide zijn andere plug-ins nodig.

Edit: Spuit11
Zondermeer onzin.

Er is maar 1 verschil dat er toe doet: Java is statically typed, terwijl JavaScript dynamically typed is.

JavaScript kan namelijk net als Java in een VM draaien en er zijn ook JavaScript compilers en zelfs JavaScript servers. Nog sterker: er is zelfs een Java Virtual Machine geschreven in JavaScript!
Even ter info: Java is wat anders dan javascript. Je bent niet veilig voor java exploits als je alleen javascript disabled.
Java en Javascript is iets anders! Javascript heb je inderdaad vaak nodig voor dynamische websites (menuutjes, dynamische tijd en jaaraanduiding, stats... bijvoobeeld).
Java wordt meer gebruikt als echte web applicaties, zoals een filemanager geïmplenteerd op een website (in Webmin wordt dit oa gebruikt).

Veel doorsnee eindgebruikers hebben denk ik weinig te maken met Java in hun dagelijkse surf sessies. Beste lijkt me uitschakelen, of zo instellen dat expliciet toestemming nodig is voor het uitvbvoeren van applets op websites.
Ik lees een hoop mensen hierboven die zeggen zet dan je java uit in je browser maar ik snap niet echt hoe jullie lekker browsen. Ik heb Javascript standaard uitstaan tenzij ik het expliciet toesta voor een website.. Maar er is eigenlijk geen website die ik lekker kan gebruiken zonder dat javascript iets wil doen.
Java en Javascript zijn verschillende dingen...
java is niet hetzelfde als javaSCRIPT
Is bekend wat voor consequenties dit probleem heeft voor OSes anders dan Windows?
Eigenlijk vraag ik me af waarom ik het iedere keer installeer, ik maak er volgens mij helemaal geen gebruik van :P.
En daarom zeg ik NEE tegen Java en Adobe ! Als men wil dat ik op hun site content afneem dan zal men dat in html5 moeten doen. Sorry maar vind het belachelijk dat ik software / plugin rotzooi moet installeren om gewoon een site te bekijken daarom doe uk het ook niet!! Zie mij computer maar als een iPad ;-)
Ik heb het er meteen vanaf gegooid ook na dat ik dit had gepost :P

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013