Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties, 30.935 views •

Een beveiligingsonderzoeker heeft een nieuw en ernstig beveiligingsprobleem ontdekt in Java, dat op dit moment wellicht al wordt misbruikt door aanvallers en werkt op een volledig gepatchte Windows-machine. Gebruikers kunnen het beste de Java-plug-in uitschakelen.

De kwetsbaarheid werd eerder op donderdag gemeld door hacker Kafeine op het weblog Malware Don't Need Coffee, maar aanvankelijk was niet duidelijk of zijn claims op waarheid berustten. Beveiligingsbedrijf Alien Vault heeft het beveiligingsprobleem met de informatie die Kafeine beschikbaar heeft gesteld nu weten te reproduceren. Ze wisten eigen code uit te voeren met behulp van het lek, op een volledig gepatchte Windows-installatie met Java.

Er zijn twee redenen waarom het beveiligingsprobleem ernstig is. Allereerst gaat het om een probleem waarvoor nog geen patch bestaat en dat tot voor kort nog niet bekend was, een zogenoemd zero day-beveiligingsprobleem. Daarnaast wordt het lek al in het wild misbruikt, denkt Alien Vault: de exploit kits Blackhole en Nucleair Pack zouden de kwetsbaarheid al opgenomen hebben. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Omdat er op dit moment nog geen patch beschikbaar is, is de enige oplossing het uitschakelen van de Java-plug-in in de browser, schrijft Alien Vault. Wat het beveiligingsprobleem precies inhoudt, is echter nog niet geheel duidelijk, al lijkt het erop dat het permissiesysteem van Java om de tuin wordt geleid.

Wanneer het beveiligingsprobleem wordt opgelost, is onduidelijk. De eerstvolgende driemaandelijkse 'patchronde' van Java vindt plaats in februari, maar of deze kwetsbaarheid nog kan worden meegenomen, is onduidelijk. In oktober slaagde Java-eigenaar Oracle er niet in om een ernstig beveiligingsprobleem op tijd te patchen voor de patchronde.

In het afgelopen halfjaar kwamen er verschillende zero day-problemen in Java naar buiten. Een van de patches die een eveneens actief misbruikt Java-lek patchte, introduceerde een nieuw lek. Volgens beveiligingsbedrijf Kaspersky is Java het populairste doelwit van malwareauteurs; in het derde kwartaal van 2012 zou 56 procent van de malware zich op Java hebben gericht.

Calc.exe geopend via java zero day

De onderzoekers van Alien Vault starten met behulp van de exploit vanuit de browser de applicatie calc.exe. Echte malware voert schadelijkere trucs uit.

Reacties (90)

Oracle is slecht bezig, dat is duidelijk. (Zelfs) bij Sun was Java nog in betere handen. Maar dat geklaag op Java en "uninstall het!" en weet ik wat is gewoon overdreven. Zet gewoon je plug-ins op "on demand" en je hebt er geen last meer van - ben je meteen van de Flash-problemen af. Enkele sites white-listen indien handig en klaar ben je.
Het uitzetten van Java in Chrome kan gemakkelijk door chrome://plugins in the adresbalk te steken en dan bij Java op uitschakelen drukken.

In firefox kan je dit door op de alt toets te drukken en dan bij extra naar Add-ons te gaan en daar de Java-plugin uit te schakelen.

In Internet Explorer druk je op het tandwiel icoontje -> invoegtoepassingen beheren -> Java plug-in uitschakelen

[Reactie gewijzigd door SmokingCrop op 10 januari 2013 16:16]

Dit is op zich een aardige oplossing, maar voor zakelijk gebruik haast niet te doen. Het vereist immers de medewerking van gebruikers om java na kortstondig gebruik weer uit te schakelen. Mijn oplossing is om via GPO > User > Administrative Templates > Windows Components > IE > Internet Control Panel > Security Page > Internet zone de optie Disable java te gebruiken. Hierdoor moet een domeinnaam expliciet in de trusted zone opgenomen worden om java te mogen draaien.
Sinds laatste versie kan je via "Control Panel\Programs\Java" (Java Control Panel) in het security tabblad de java plugin voor alle browsers in één keer uitschakelen en ook de security settings aanpassen.
Als alle Java versies vatbaar zijn voor dit probleem, is dat een overblijfsel van Sun. Voordat Oracle Sun overnam had Oracle eigenlijk niet rechtstreeks met consumenten te maken.

Voor bedrijven zijn voorspelbare patch rondes erg belangrijk. Oracle houd 3 maandelijkse patch rondes aan, Microsoft een maandelijkse. ronde

Maar met Java krijgt Oracle ineens te maken met consumenten. En ineens wordt het belangrijk binnen een paar uur danwel dagen met een patch te komen. Dat gaat in tegen de volledige Oracle cultuur. Het zou mij dan ook niet verbazen als Oracle Java doneert aan de Apache foundation..

De bug zit in alle Java versies dus helaas ook in die voor Linux en OSX. Echter het percentage Linux gebruikers is erg laag en vaak draait de JRE in user space en daarnaast zijn er voor Linux ook alternative JRE zoals die van IBM. Dat maakt het lastiger de exploit onder Linux te misbruiken. Daarnaast zijn er in tegenstelling tot Windows weinig virussen voor Linux. Redkit en Blackhole werken daarop gewoon niet.

Dus onder Linux ben je wel vatbaar voor de bug (De Java plugin voor Chrome zal voor Linux niet veel verschillen van die voor Windows), maar is het een stuk lastiger nuttige code te laten uitvoeren..

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True