Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties

Oracle heeft een beveiligingsprobleem in Java niet gepatcht; enkel de exploit is onschadelijk gemaakt. Dat beweert een beveiligingsbedrijf. Een aanvaller met voldoende kennis zou daardoor een nieuwe exploit voor hetzelfde probleem kunnen schrijven.

JavaDe Java-patch die maandag verscheen om een urgent beveiligingsprobleem in Java te verhelpen, lost het probleem van het uitvoeren van eigen code niet op. Dat claimt beveiligingsbedrijf Immunity.

Volgens Java-eigenaar Oracle verhielp de patch twee beveiligingsproblemen, waaronder een lek dat actief zou worden misbruikt: volgens beveiligingsbedrijf Alien Vault was een exploit voor het probleem opgenomen in onder meer de BlackHole-exploitkit. Exploitkits misbruiken kwetsbaarheden in software om malware te installeren op pc's van gebruikers.

Immunity ontdekte echter dat de patch enkel de exploit het werk onmogelijk maakt; het beveiligingsprobleem zelf is niet verholpen. Daardoor zou een aanvaller met voldoende kennis van de broncode van Java - die vrij toegankelijk is - een nieuwe exploit kunnen schrijven die hetzelfde beveiligingsprobleem misbruikt.

De patch van maandag maakt het aanvallers wel moeilijker om beveiligingsproblemen te misbruiken, doordat Java code zonder certificaat en self-signed code niet meer standaard uitvoert. Daardoor moeten aanvallers code voorzien van een geldig certificaat; anders moeten gebruikers er bewust voor kiezen om de Java-applet uit te voeren. Dat is minder interessant voor exploit-kits, aangezien die ongezien hun werk willen doen.

Waarschijnlijk heeft Oracle gekozen voor een snelle fix om de exploit ontoegankelijk te maken omdat het beveiligingsprobleem oplossen te veel tijd zou kosten. Mogelijk volgt een definitieve oplossing tijdens Oracles eerstvolgende patchronde, in februari.

Reacties (56)

Reactiefilter:-156052+139+25+30
Moderatie-faq Wijzig weergave
Welk lek? Die van vorige week of die van daarvoor?
Ik vraag me af of Oracle gewoon verschrikkelijke code schrijft of dat Java hacken gewoon een hype is.
Mega boete opleggen, dit is totaal onverantwoord bezig zijn
Statistisch gezien gebeuren de meeste ongelukken thuis...

Daar kan je dus voortaan ook beter wegblijven. :P
Ik moet wel Java gebruiken want op mijn opleiding (Software Engineering via Fontys in Eindhoven) willen ze alleen en exclusief Java gebruiken. Bah :(
Geen verrassing, dit is hoe ze tegenwoordig 'patches' uitbrengen, ik ben maar mee gegaan in het advies van de vele 'proffesionals' en heb java verwijderd van alle pcs hier op kantoor, word verder toch nergens meer gebruikt, en anders krijgen ze een vmware install van me :9

Het is nu enkel nog wachtten tot Oracle echt de handdoek in de ring gooit, en een van de onderstaande gebeurd;
1] Java word opgeheven
2] Sun Microsystems word opnieuw opgericht, en deze koopt met een paar investeerders Java terug. (waarna ze waarschijnlijk 3 'mayor' versies terugspringen om al Oracles gefaal weg te werken)

Ben alleen 'bang' (voor de toekomst van java) dat #2 niet gaat gebeuren. :(

[Reactie gewijzigd door olivierh op 15 januari 2013 15:52]

Inderdaad maar wel met de auto gaan terwijl dat het gevaarlijkste is wat er gem. elke dag gedaan wordt :)
Morgen is er waarschijnlijk een nieuwe kant en klare exploit uit, dit heeft totaal geen nut zo.
Waarom is het nog steeds niet mogelijk om in java een whitelist te maken voor sites die wel java mogen gebruiken? Als je een site niet op de whitelist heb gezet dan krijgt ie ook geen toegang tot de java plugin. Is dat nu zo moeilijk... Ik raad iedereen aan om Java zo snel mogelijk te verwijderen.
Wederom even gechecked of Java staat uitgeschakeld, ik loop liever geen risico. Binnenkort overwegen om Java misschien maar helemaal definitief te verwijderen.

Dit is wat mij betreft het einde van Java in de browser.

[Reactie gewijzigd door FrankHe op 15 januari 2013 13:32]

wordt lastig als je software hebt draaien dat java nodig heeft, zoals bv Universal/PS3 media server, of welke andere van de duizenden softwarepakketten die er gebruik van maken..
Ik heb een beter advies: niet meer online gaan. En het veiligste ben je pas als je alle computers wegdoet.
Of gebruik gewoon NoScript...
ze nemen duidelijk hun tijd, hopelijk zorgt het er tevens voor dat ze wat meer aan de security van java gaan doen ipv enkele dit lek dichten, want zoo lang kan dat nu toch niet duren?

[Reactie gewijzigd door Terrestraeon op 15 januari 2013 12:58]

Java neemt security sowieso niet serieus. Toen die Java drive by exploit uit was had ik het niet lang erna voor de patch (half jaar ervoor) aangegeven. Wat hebben ze ermee gedaan? Niks. Ze hebben het pas gefixt toen microsoft zei dat het uit de hand liep ofzoiets...
Toch wel, want ze hebben ook het default security-level hoger gezet. Waardoor de exploiter tenminste moet regelen dat het de beschikking krijgt over een code-signing certificaat van een trusted CA. Niet onoverkomelijk waarschijnlijk, maar wel een extra drempel en ze zullen hun exploit waarschijnlijk niet aanbieden als signed-jar voor een exploit kit.
Alle problemen tot nu toe zaten in de browser plug-in. Iets waar embedded systemen of servers geen last van hebben.

Als jij gaat waarschuwen voor "potentiŽle" risico's, waarschuw je dan ook even voor alle andere software? Er is geen "gegarandeerd" veilige software. Java niet, .Net niet, Ruby-on-Rails niet, Windows niet, Unix niet, Linux niet, Mac niet, het proprietary embedded OS van je router niet.

Veiligheid is de afweging tussen risico en schade. Met deze patch heeft Oracle het risico sterk verkleind. De mogelijke schade blijkbaar niet. Het systeem is dus veiliger geworden.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 edge Apple Watch Project CARS Nest Learning Thermostat Games

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True