Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 56, views: 18.855 •

Oracle heeft een beveiligingsprobleem in Java niet gepatcht; enkel de exploit is onschadelijk gemaakt. Dat beweert een beveiligingsbedrijf. Een aanvaller met voldoende kennis zou daardoor een nieuwe exploit voor hetzelfde probleem kunnen schrijven.

JavaDe Java-patch die maandag verscheen om een urgent beveiligingsprobleem in Java te verhelpen, lost het probleem van het uitvoeren van eigen code niet op. Dat claimt beveiligingsbedrijf Immunity.

Volgens Java-eigenaar Oracle verhielp de patch twee beveiligingsproblemen, waaronder een lek dat actief zou worden misbruikt: volgens beveiligingsbedrijf Alien Vault was een exploit voor het probleem opgenomen in onder meer de BlackHole-exploitkit. Exploitkits misbruiken kwetsbaarheden in software om malware te installeren op pc's van gebruikers.

Immunity ontdekte echter dat de patch enkel de exploit het werk onmogelijk maakt; het beveiligingsprobleem zelf is niet verholpen. Daardoor zou een aanvaller met voldoende kennis van de broncode van Java - die vrij toegankelijk is - een nieuwe exploit kunnen schrijven die hetzelfde beveiligingsprobleem misbruikt.

De patch van maandag maakt het aanvallers wel moeilijker om beveiligingsproblemen te misbruiken, doordat Java code zonder certificaat en self-signed code niet meer standaard uitvoert. Daardoor moeten aanvallers code voorzien van een geldig certificaat; anders moeten gebruikers er bewust voor kiezen om de Java-applet uit te voeren. Dat is minder interessant voor exploit-kits, aangezien die ongezien hun werk willen doen.

Waarschijnlijk heeft Oracle gekozen voor een snelle fix om de exploit ontoegankelijk te maken omdat het beveiligingsprobleem oplossen te veel tijd zou kosten. Mogelijk volgt een definitieve oplossing tijdens Oracles eerstvolgende patchronde, in februari.

Reacties (56)

ze nemen duidelijk hun tijd, hopelijk zorgt het er tevens voor dat ze wat meer aan de security van java gaan doen ipv enkele dit lek dichten, want zoo lang kan dat nu toch niet duren?

[Reactie gewijzigd door Terrestraeon op 15 januari 2013 12:58]

Maar ze hebben iig de scriptkiddies geweerd. Ik vond het al frappant dat Oracle zo snel uitkwam met een "fix"
Maar wie heb je liever geblokt. De " scriptkiddies of de mensen die hier echt weten wat ze kunnen doen met zo'n lek.
Ik kan begrijpen dat ze met een hotfix komen om er voor te zorgen dat terwijl er een definitieve oplossing word gemaakt deze exploit niet meer werkt.
Maar dan verwacht ik wel dat die ook uit komt als hij klaar is en niet wanneer Oracle zin heeft om weer eens een patchronde te doen. Die vorige fix wilde ze ook al laten slingeren tot februari.

Ik snap dat ze niet zo heel veel meer om de desktop markt zullen geven (die hebben ze al bijna niet meer volgens mij), maar in het bedrijfsleven draait nog veel op Java. Die zullen niet blij zijn als dat de instelling is. Vooral als jij software/hardware levert waar Oracle JVM's in draaien. Dan moet je dus ook tegen je klanten zeggen dat de apperatuur/programmatuur een potentieel risico heeft. En er zijn apparaten van een paar duizenden euro's die op Java draaien.

Ik zou voorlopig geen Java meer aanraden. En ja het gaat momenteel voornamelijk om de plugin, maar dat betekend niet dat een lek in de daadwerkelijke JVM's anders behandeld gaat worden.
Oracle neemt altijd ruimschoots de tijd. Het was al heel wat dat ze dit keer direct actie gingen ondernemen ipv een bekend lek gewoon maanden open te laten staan. Eigenlijk was het dus wel te verwachten dat het half werk zou zijn.
Gisteren ING nog gebeld:
'we hebben nog geen meldingen gekregen dat dit is misbruikt, dus u kunt het gewoon nog gebruiken'.

Tja.. :/
Of gebruik gewoon NoScript...
Waarom zou je ING bellen? Het probleem zit niet in hun applet.

Het probleem zit in andere malafide sites (NIET ING duh) welke gebruikt maken van de bug.

[Reactie gewijzigd door Cobalt op 15 januari 2013 14:51]

Sneu. Nog sneuer was dat wr de Ask Toolbar gepusht werd met de update. Kom op, het is geen 1995 meer.
Ik heb een beter advies: niet meer online gaan. En het veiligste ben je pas als je alle computers wegdoet.
ze nemen duidelijk hun tijd,
Patches komen niet zomaar uit de lucht vallen, en programmeer je ook niet even in een paar minuten, dus natuurlijk kost het tijd voor er een volledige patch voor dit probleem komt.

[Reactie gewijzigd door Zer0 op 15 januari 2013 13:25]

Als je van java.sun.com de jdk of jre download wordt er niet gevraagd of je ask toolbar wilt.
Alleen als je van java.com de jre download.

En zo heel erg is het ook weer niet dat bedrijven geld willen verdienen. Veel bedrijven leveren toolbars mee, ook Adobe, tools als winscp of virusscanners.

[Reactie gewijzigd door Cobalt op 15 januari 2013 13:31]

Je vergeet dat het niet zo simpel is om security lekken zomaar even te fixen, je moet namelijk altijd heel goed testen of je met de fix niet reeds bestaande software doet breken..

En beter de lek blokkeren (zoals het beveiligingsbedrijf beweert) dan helemaal niets doen..
Die mensen komen toch wel binnen, want die hebben vaak een hele toolkit met zero-day exploits.
wordt lastig als je software hebt draaien dat java nodig heeft, zoals bv Universal/PS3 media server, of welke andere van de duizenden softwarepakketten die er gebruik van maken..
Je wil natuurlijk dat een beveiligings-probleem zo snel mogelijk opgelost word. Als een bedrijf door een simpele update een gedeelte van de kwetsbaarheid kan verhelpen juich ik het alleen maar toe als ze deze zo snel mogelijk beschikbaar maken. Dat is beter dan moeten wachten totdat ze het probleem echt opgelost hebben en je in die tussentijd helemaal kwetsbaar bent. Alles beter dan niets zullen we maar zeggen.

Natuurlijk moet dat niet betekenen dat de complete fix van het probleem langer op zich laat wachten dan nodig is.
Ik denk dat dit immens complex is, gezien de toepassingen van Java. Dezelfde (wel bijna) JVM wordt gebruikt om applets te draaien EN om complexe webservers (JBoss, WebLogic e.d.) te draaien. Oracle's belangen liggen duidelijk bij de laatste categorie, de serverkant.
Ik denk dat er nog vele exploits zullen volgen, simpel vanwege deze tegenstrijdige toepassingen/belangen. Ik denk dat de enige manier om dit echt te fixen een fork is. Dus, een simpelere JVM voor de browser, eentje die eenvoudiger te beveiligen is.

@Cobalt. Ja de huidge JVM kent meerdere modus. Maar, dat is niet terzake doende. Het gaat erom dat de codebase vereenvoudigd kan worden. Dat maakt beveiligen simpeler

[Reactie gewijzigd door loetje6 op 15 januari 2013 13:57]

Wederom even gechecked of Java staat uitgeschakeld, ik loop liever geen risico. Binnenkort overwegen om Java misschien maar helemaal definitief te verwijderen.

Dit is wat mij betreft het einde van Java in de browser.

[Reactie gewijzigd door FrankHe op 15 januari 2013 13:32]

Java kent al een parameter -client en -server die bepaalde features in- en uitschakkeld.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013