Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 56, views: 18.809 •

Oracle heeft een beveiligingsprobleem in Java niet gepatcht; enkel de exploit is onschadelijk gemaakt. Dat beweert een beveiligingsbedrijf. Een aanvaller met voldoende kennis zou daardoor een nieuwe exploit voor hetzelfde probleem kunnen schrijven.

JavaDe Java-patch die maandag verscheen om een urgent beveiligingsprobleem in Java te verhelpen, lost het probleem van het uitvoeren van eigen code niet op. Dat claimt beveiligingsbedrijf Immunity.

Volgens Java-eigenaar Oracle verhielp de patch twee beveiligingsproblemen, waaronder een lek dat actief zou worden misbruikt: volgens beveiligingsbedrijf Alien Vault was een exploit voor het probleem opgenomen in onder meer de BlackHole-exploitkit. Exploitkits misbruiken kwetsbaarheden in software om malware te installeren op pc's van gebruikers.

Immunity ontdekte echter dat de patch enkel de exploit het werk onmogelijk maakt; het beveiligingsprobleem zelf is niet verholpen. Daardoor zou een aanvaller met voldoende kennis van de broncode van Java - die vrij toegankelijk is - een nieuwe exploit kunnen schrijven die hetzelfde beveiligingsprobleem misbruikt.

De patch van maandag maakt het aanvallers wel moeilijker om beveiligingsproblemen te misbruiken, doordat Java code zonder certificaat en self-signed code niet meer standaard uitvoert. Daardoor moeten aanvallers code voorzien van een geldig certificaat; anders moeten gebruikers er bewust voor kiezen om de Java-applet uit te voeren. Dat is minder interessant voor exploit-kits, aangezien die ongezien hun werk willen doen.

Waarschijnlijk heeft Oracle gekozen voor een snelle fix om de exploit ontoegankelijk te maken omdat het beveiligingsprobleem oplossen te veel tijd zou kosten. Mogelijk volgt een definitieve oplossing tijdens Oracles eerstvolgende patchronde, in februari.

Reacties (56)

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Mobiele netwerken Gamecontrollers Smartphones Apple Sony Microsoft Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013