Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Bron: C|Net

C|Net schrijft dat er een kwetsbaarheid is ontdekt in diverse virtuele Java-machines, waaronder de Java Virtual Machine (JVM) die bij Netscape 6.01 tot 6.1 en Internet Explorer 4 en 5 zit. Een Nederlandse onderzoeker bracht dit lek aan het licht waarmee een hacker internetverkeer kan omleiden en gevoelige informatie kan buitmaken. De nieuwere versies van Netscape en Internet Explorer bevatten al een oplossing voor dit probleem. Het is erg opvallend dat Netscape, Microsoft en Sun, die al vanaf april vorig jaar van dit lek op de hoogte waren, dit totaal hebben stilgehouden. Hieronder een gedeelte uit het artikel:

JAVATo exploit the flaw, a hacker would lure a person to a site where a malicious Java applet is running. In order for the exploit to work, the victim would have to have Internet Explorer configured to access Internet resources via a proxy server. The flaw would let a hacker view the information as it passes through the proxy server.

Met dank aan Maori voor de tip.

Moderatie-faq Wijzig weergave

Reacties (32)

Vanaf April vorig jaar bekend? Woei! Als dit een MS-only bug was geweest was de wereld te klein geweest, en hadden we hier nu zo'n 200 trolls zien staan. Nu is het van Sun en heeft "iedereen" er last van (iig niet alleen MS), en 't is allemaal ok en "goed dat het gefixed is" ?

Njah whatever... het toont iig aan dat als ze willen, een bug dus wel geheim kan worden gehouden. Zouden ze vaker moeten doen, en eerst de producenten de gelegenheid geven patches te ontwikkelen (al vind ik bijna een jaar de tijd wel weer het andere uiterste) zodat iedereen geupdate kan hebben voordat de bug publiekelijk bekend wordt gemaakt....
dit is al langer bekend, ik geloof dat er al een fix voor zat in mozilla 0.9.x ofzo, dit lek zit trouwens zowel in de windows als in de *NIX versie

Hier is een patch: http://www.microsoft.com/java/vm/dl_vm40.htm
Microsoft Netscape en Sun kunnen dus wel samen werken.

Als ze maar willen...
Het is wat vreemd dat het zo lang is stilgehouden inderdaad.. Maar stilhouden opzich is niet zo vreemd..

Situatie:
Er wordt een lek gevonden. Men maakt het bekend en gaat proberen een fix te maken. Totdat die fix klaar is zijn er honderd honderd zieke geestjes die proberen via dat lek allemaal foute dingen te doen!

2e situatie:
Er wordt een lek gevonden. Met probeert een fix te maken. Zodra die fix klaar is maakt men de fix beschikbaar en vermeld men het lek. De zieke geestjes hebben zo véél minder kans om foute dingen te doen!

Goed... In deze situatie is het lek wel érg lang stilgehouden inderdaad! Te lang. Maar pas toch op voor te snel oordelen over de 'foutheid' van de producenten!
Situatie:
Er wordt een lek gevonden. Men maakt het bekend en gaat proberen een fix te maken. Totdat die fix klaar is zijn er honderd honderd zieke geestjes die proberen via dat lek allemaal foute dingen te doen! Dat lukt echter niet, omdat iedereen op de hoogte is van het lek, en verantwoorde systeembeheerders ervoor zorgen dat de lekke software niet langer gebruikt wordt zolang er nog geen patch is.

2e situatie:
Er wordt een lek gevonden. Men probeert een fix te maken. Zodra die fix klaar is maakt men de fix beschikbaar en vermeld men het lek. De zieke geestjes hebben zo véél meer kans om foute dingen te doen! De kans dat het lek in de ondergrondse scene al eerder gevonden is, of wordt gevonden terwijl er aan de patch wordt gewerkt, is namelijk aanwezig, en zeker niet te verwaarlozen. Er hoeft maar één slim iemand een exploit te schrijven en de scriptkiddies kunnen los gaan. Omdat niemand hiervan op de hoogte is, behalve de vendor en de underground, staan alle systemen wijd open. Er is immers geen reden om de software (tijdelijk) uit te schakelen?
Vind het nog steeds lachwekkend dat het nu wel een goed iets is als bugs niet bekend gemaakt worden ...

Bij Microsoft doen ze dat ook niet en daarom worden ze door vele tweakers gewoon afgemaakt, terwijl als Sun dit doet het allemaal mooi en prachtig is ?

mmm
In de automobiel wereld, wordt geacht een produkt "VEILIG" moet zijn. In verleden werden ook een hoop aantal mobielen terug gehaald rond dit probleem, maar de softwaremakers zijn maar al te verwend tegenover de verantwoordelijkheid tov hun produkt.
Okey, het gaat niet om mensen levens, maar de verantwoordelijk tegenover hun klanten... Voor de meeste software giganten is het beste hun produkt verkopen en niets meer van terug horen en ieder jaar maar een andere upgrade pakket erbij kopen!!!
In order for the exploit to work, the victim would have to have Internet Explorer configured to access Internet resources via a proxy server.
Dus als je direct aangesloten zit ( niet via een proxy ) dan heb je er geen last van :?
Nee, inderdaad. Het applet is namelijk alleen in staat om het veld waarin de server staat aangegeven te veranderen. Het aan of uitzetten van het gebruik van een proxyserver kan niet worden geregeld door applets, tenminste, voor zover bekend niet.

Overigens is het doodsimpel om te ontdekken of je zelf ook het 'slachtoffer' bent van een dergelijk applet, gewoon even bij je instellingen kijken :)

Verder denk ik niet dat dit grootschalig zal worden gedaan, omdat de 'hacker' op deze manier de connectie van zijn servertje volledig overbelast, bedenk maar eens hoe belachelijk veel traffic het al oplevert als 1000 mensen hiermee 'geïnfecteerd' zijn. En het is natuurlijk wel erg makkelijk om iemand die deze exploit gebruikt te traceren.
Als die dat bij mij doet en vele anderen die een proxy gebruiken merk ik dat snel genoeg. Proxy is namelijk nodig om het internet te kunnen berijken, dus tenzij dat geinporum op het intranet zit zijn vele proxygebruikers veilig.
Dat hoeft uiteraard niet altijd waar te zijn. Veel mensen gebruiken de proxy van hun provider omdat ze denken dat dat sneller is, niet omdat ze het nodig hebben om naar een server te connecten. En wanneer ze dan via een andere proxy internetten, merken ze er dus niets van.

Overigens is het gebruik van een proxy om sneller te internetten allang achterhaald, de meeste proxyservers van provider halen de 100KB/s nog niet eens.
Hij cached daarentegen wel vaak opgevraagde info, dus ontlast je internet in z'n geheel een aardig stuk :)
maar dat zijn dan alleen de veel gezochte sites die zo en zo al in de locale cache staan. Naar mijn ervaring werkt het in de praktijk meer tegen dan mee, immers sites die vaak bezocht worden zijn sites die vaak veranderen en daarvoor heeft caching ook geen zin.
<offtopic>
Best wel leuk als je weet dat telenet in belgie zijn klanten verplicht om via proxy te surfen, je kunt anders niet op het net. En dan zijn hun servers nog enorm mager qua kwaliteit
</offtopic>
Ik geloof dat die namen ook weleens worden verward, ik weet het zelf ook niet precies, maar vaak zegt men dat een proxy je IP af schermt terwijl het alleen maar een soort cache is, of is dat afschermen van je IP soms het gevolg daarvan ? Maar hoe het ook zei, het lijkt mij dat wanneer je een proxy instelt ze per definitie je informatie kunnen aftappen..
Dit is dus één van de weinige nadelen, zo niet de enige, nadelen van Java. Zo'n bug / exploit is van toepassing op meerdere (besturings)systemen.
ik gebruik dus mooi al een tijdje nieuwe mozilla versies zonder proxy, dus ik heb nergens last van... :)
Dit gaat dus alleen om die achterlijke oude java plugins... niet de nieuwe van 1.4 als ik het artikel goed begrepen heb.
Aan de ene kant is het "verstandig" de lek niet te publiceren, om taloze nieuwsgierige hackers maar op idee te brengen.
Aan de andere kant is het bekendmaken erg belangrijk voor toekomstige verbeteringen,
maar nog belangrijker is dat de consument MAG/MOET weten wat voor gaten of beveiligings lek ze in hun server of pc hebben.
hallo hallo
bespeur ik hier weer eens dat er met twee maten gemeten wordt? ;(
als dit lek alleen in een MS product zou zitten dan zou echt weer eens iedereen BILL van de meest verschikkelijke dingen betichten.
Maar nu naast MS ook lievelingetje SUN en Netscape fout zitten doet iedereen erg heel erg luchtig over.

overigens ben ik het er niet mee oneens dat er genuanceerd over dit soort lekken wordt nagedacht zonder meteen te gaan brullen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True