Door Joost Schellevis, dinsdag 15 januari 2013 12:56, views: 18.556 •

Oracle heeft een beveiligingsprobleem in Java niet gepatcht; enkel de exploit is onschadelijk gemaakt. Dat beweert een beveiligingsbedrijf. Een aanvaller met voldoende kennis zou daardoor een nieuwe exploit voor hetzelfde probleem kunnen schrijven.

JavaDe Java-patch die maandag verscheen om een urgent beveiligingsprobleem in Java te verhelpen, lost het probleem van het uitvoeren van eigen code niet op. Dat claimt beveiligingsbedrijf Immunity.

Volgens Java-eigenaar Oracle verhielp de patch twee beveiligingsproblemen, waaronder een lek dat actief zou worden misbruikt: volgens beveiligingsbedrijf Alien Vault was een exploit voor het probleem opgenomen in onder meer de BlackHole-exploitkit. Exploitkits misbruiken kwetsbaarheden in software om malware te installeren op pc's van gebruikers.

Immunity ontdekte echter dat de patch enkel de exploit het werk onmogelijk maakt; het beveiligingsprobleem zelf is niet verholpen. Daardoor zou een aanvaller met voldoende kennis van de broncode van Java - die vrij toegankelijk is - een nieuwe exploit kunnen schrijven die hetzelfde beveiligingsprobleem misbruikt.

De patch van maandag maakt het aanvallers wel moeilijker om beveiligingsproblemen te misbruiken, doordat Java code zonder certificaat en self-signed code niet meer standaard uitvoert. Daardoor moeten aanvallers code voorzien van een geldig certificaat; anders moeten gebruikers er bewust voor kiezen om de Java-applet uit te voeren. Dat is minder interessant voor exploit-kits, aangezien die ongezien hun werk willen doen.

Waarschijnlijk heeft Oracle gekozen voor een snelle fix om de exploit ontoegankelijk te maken omdat het beveiligingsprobleem oplossen te veel tijd zou kosten. Mogelijk volgt een definitieve oplossing tijdens Oracles eerstvolgende patchronde, in februari.

Reacties (56)

Reactiefilter:-156052+139+25+30
Platte weergaveSorteer aflopendFaq
«  1  2  »
+2 loetje6
dinsdag 15 januari 2013 13:30
Ik denk dat dit immens complex is, gezien de toepassingen van Java. Dezelfde (wel bijna) JVM wordt gebruikt om applets te draaien EN om complexe webservers (JBoss, WebLogic e.d.) te draaien. Oracle's belangen liggen duidelijk bij de laatste categorie, de serverkant.
Ik denk dat er nog vele exploits zullen volgen, simpel vanwege deze tegenstrijdige toepassingen/belangen. Ik denk dat de enige manier om dit echt te fixen een fork is. Dus, een simpelere JVM voor de browser, eentje die eenvoudiger te beveiligen is.

@Cobalt. Ja de huidge JVM kent meerdere modus. Maar, dat is niet terzake doende. Het gaat erom dat de codebase vereenvoudigd kan worden. Dat maakt beveiligen simpeler

[Reactie gewijzigd door loetje6 op dinsdag 15 januari 2013 13:57]

+2 Herko_ter_Horst
dinsdag 15 januari 2013 17:50
Dat zijn optimalisatie-opties, geen features die in- of uitgeschakeld worden.
+2 Christiaan676
dinsdag 15 januari 2013 13:30
Je wil natuurlijk dat een beveiligings-probleem zo snel mogelijk opgelost word. Als een bedrijf door een simpele update een gedeelte van de kwetsbaarheid kan verhelpen juich ik het alleen maar toe als ze deze zo snel mogelijk beschikbaar maken. Dat is beter dan moeten wachten totdat ze het probleem echt opgelost hebben en je in die tussentijd helemaal kwetsbaar bent. Alles beter dan niets zullen we maar zeggen.

Natuurlijk moet dat niet betekenen dat de complete fix van het probleem langer op zich laat wachten dan nodig is.
+2 Dreamvoid
dinsdag 15 januari 2013 14:18
Ik adviseer iedereen Java (tijdelijk) te verwijderen
Doorgaans installeer je Java als je het nodig hebt, dus wat is dat voor onzinnig advies. Exploit in Firefox: "ik raad aan om Firefox te verwijderen". Exploit in OS X "ik raad aan om geen Macs te gebruiken". Exploit in Word: "ik raad aan om Word te verwijderen".
+2 Dreamvoid
dinsdag 15 januari 2013 17:11
verder is Java ontworpen/ontwikkeld door 1 persoon/Sun
Dat was nou juist de hele reden van de overname! Oracle bulkt van het geld, maar had hun complete technologie op Sun's Java gebouwd. Toen Sun door zijn geld heen raakte en de toekomst van Java dreigde te verzanden (Java 7 werd maar verder en verder uitgesteld), heeft Oracle de hele Sun boedel gekocht om zelf de Java development ter hand te nemen. Er is sindsdien enorm het gaspedaal ingedrukt, Java 7 is zo snel mogelijk gereleased (achteraf niet zo handig misschien, want er zitten blijkbaar nog grote bugs in), en Oracle heeft in IBM, SAP en Apple partners gevonden om de referentie JRE (OpenJDK) gezamenlijk te ontwikkelen ipv iedereen zijn eigen (IBM zat in Apache Harmony, Apple maakte vroeger zijn eigen JRE).

Eigenlijk had Oracle de hele browser plugin direct al na de overname in 2010 de nek om moeten draaien. Had ze misschien destijds een hoop kwaaie website bouwers opgeleverd, maar dan zaten ze nu niet met deze ellende - waar ze helemaal niet op zitten te wachten, want Oracle verdient volgens mij geen pepernoot aan websites met Java applets.

[Reactie gewijzigd door Dreamvoid op dinsdag 15 januari 2013 18:15]

Op dit item kan niet meer gereageerd worden.

«  1  2  »

Onderwerpen

Gerelateerde content

Alle gerelateerde content (9)

© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies

Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True

Website van het jaar 2012