Lek in Java Virtual Machine bekend gemaakt

C|Net schrijft dat er een kwetsbaarheid is ontdekt in diverse virtuele Java-machines, waaronder de Java Virtual Machine (JVM) die bij Netscape 6.01 tot 6.1 en Internet Explorer 4 en 5 zit. Een Nederlandse onderzoeker bracht dit lek aan het licht waarmee een hacker internetverkeer kan omleiden en gevoelige informatie kan buitmaken. De nieuwere versies van Netscape en Internet Explorer bevatten al een oplossing voor dit probleem. Het is erg opvallend dat Netscape, Microsoft en Sun, die al vanaf april vorig jaar van dit lek op de hoogte waren, dit totaal hebben stilgehouden. Hieronder een gedeelte uit het artikel:

JAVATo exploit the flaw, a hacker would lure a person to a site where a malicious Java applet is running. In order for the exploit to work, the victim would have to have Internet Explorer configured to access Internet resources via a proxy server. The flaw would let a hacker view the information as it passes through the proxy server.

Met dank aan Verwijderd voor de tip.

Door Robin van Rootseler

Developer

Feedback • 07-03-2002 19:09 32

07-03-2002 • 19:09

32

Bron: C|Net

Lees meer

'Veelgebruikte opensource-Java-libraries vertonen kwetsbaarheden'
'Veelgebruikte opensource-Java-libraries vertonen kwetsbaarheden' Nieuws van 26 maart 2012
Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen
Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen Nieuws van 10 april 2010
Microsoft zet Java weer terug in Windows XP via SP1
Microsoft zet Java weer terug in Windows XP via SP1 Nieuws van 19 juni 2002
Project Ace versnelt ontwikkeling Java-applicaties
Project Ace versnelt ontwikkeling Java-applicaties Nieuws van 17 juni 2002
Sun lanceert Java 2 Mobile Edition
Sun lanceert Java 2 Mobile Edition Nieuws van 27 maart 2002
Meer producten en artikelen
Software

Reacties (32)

-Moderatie-faq
32
28
20
7
2
0
Wijzig sortering
Crazy D 7 maart 2002 21:37
Vanaf April vorig jaar bekend? Woei! Als dit een MS-only bug was geweest was de wereld te klein geweest, en hadden we hier nu zo'n 200 trolls zien staan. Nu is het van Sun en heeft "iedereen" er last van (iig niet alleen MS), en 't is allemaal ok en "goed dat het gefixed is" ?

Njah whatever... het toont iig aan dat als ze willen, een bug dus wel geheim kan worden gehouden. Zouden ze vaker moeten doen, en eerst de producenten de gelegenheid geven patches te ontwikkelen (al vind ik bijna een jaar de tijd wel weer het andere uiterste) zodat iedereen geupdate kan hebben voordat de bug publiekelijk bekend wordt gemaakt....
Verwijderd 7 maart 2002 19:11
dit is al langer bekend, ik geloof dat er al een fix voor zat in mozilla 0.9.x ofzo, dit lek zit trouwens zowel in de windows als in de *NIX versie

Hier is een patch: http://www.microsoft.com/java/vm/dl_vm40.htm
kareltje21 @Verwijderd7 maart 2002 22:23
Microsoft Netscape en Sun kunnen dus wel samen werken.

Als ze maar willen...
DRvDijk 7 maart 2002 19:45
Het is wat vreemd dat het zo lang is stilgehouden inderdaad.. Maar stilhouden opzich is niet zo vreemd..

Situatie:
Er wordt een lek gevonden. Men maakt het bekend en gaat proberen een fix te maken. Totdat die fix klaar is zijn er honderd honderd zieke geestjes die proberen via dat lek allemaal foute dingen te doen!

2e situatie:
Er wordt een lek gevonden. Met probeert een fix te maken. Zodra die fix klaar is maakt men de fix beschikbaar en vermeld men het lek. De zieke geestjes hebben zo véél minder kans om foute dingen te doen!

Goed... In deze situatie is het lek wel érg lang stilgehouden inderdaad! Te lang. Maar pas toch op voor te snel oordelen over de 'foutheid' van de producenten!
Verwijderd @DRvDijk8 maart 2002 11:03
Situatie:
Er wordt een lek gevonden. Men maakt het bekend en gaat proberen een fix te maken. Totdat die fix klaar is zijn er honderd honderd zieke geestjes die proberen via dat lek allemaal foute dingen te doen! Dat lukt echter niet, omdat iedereen op de hoogte is van het lek, en verantwoorde systeembeheerders ervoor zorgen dat de lekke software niet langer gebruikt wordt zolang er nog geen patch is.

2e situatie:
Er wordt een lek gevonden. Men probeert een fix te maken. Zodra die fix klaar is maakt men de fix beschikbaar en vermeld men het lek. De zieke geestjes hebben zo véél meer kans om foute dingen te doen! De kans dat het lek in de ondergrondse scene al eerder gevonden is, of wordt gevonden terwijl er aan de patch wordt gewerkt, is namelijk aanwezig, en zeker niet te verwaarlozen. Er hoeft maar één slim iemand een exploit te schrijven en de scriptkiddies kunnen los gaan. Omdat niemand hiervan op de hoogte is, behalve de vendor en de underground, staan alle systemen wijd open. Er is immers geen reden om de software (tijdelijk) uit te schakelen?
sorted.bits @DRvDijk8 maart 2002 08:55
Vind het nog steeds lachwekkend dat het nu wel een goed iets is als bugs niet bekend gemaakt worden ...

Bij Microsoft doen ze dat ook niet en daarom worden ze door vele tweakers gewoon afgemaakt, terwijl als Sun dit doet het allemaal mooi en prachtig is ?

mmm
onno2 7 maart 2002 20:08
In de automobiel wereld, wordt geacht een produkt "VEILIG" moet zijn. In verleden werden ook een hoop aantal mobielen terug gehaald rond dit probleem, maar de softwaremakers zijn maar al te verwend tegenover de verantwoordelijkheid tov hun produkt.
Okey, het gaat niet om mensen levens, maar de verantwoordelijk tegenover hun klanten... Voor de meeste software giganten is het beste hun produkt verkopen en niets meer van terug horen en ieder jaar maar een andere upgrade pakket erbij kopen!!!
Verwijderd 7 maart 2002 20:27
Hier is de oplossing volgens mij: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/bulletin/ms02-013.asp
Een nieuwe VM......
Vinnie 7 maart 2002 19:17
In order for the exploit to work, the victim would have to have Internet Explorer configured to access Internet resources via a proxy server.
Dus als je direct aangesloten zit ( niet via een proxy ) dan heb je er geen last van :?
intoxicated @Vinnie7 maart 2002 20:17
Nee, inderdaad. Het applet is namelijk alleen in staat om het veld waarin de server staat aangegeven te veranderen. Het aan of uitzetten van het gebruik van een proxyserver kan niet worden geregeld door applets, tenminste, voor zover bekend niet.

Overigens is het doodsimpel om te ontdekken of je zelf ook het 'slachtoffer' bent van een dergelijk applet, gewoon even bij je instellingen kijken :)

Verder denk ik niet dat dit grootschalig zal worden gedaan, omdat de 'hacker' op deze manier de connectie van zijn servertje volledig overbelast, bedenk maar eens hoe belachelijk veel traffic het al oplevert als 1000 mensen hiermee 'geïnfecteerd' zijn. En het is natuurlijk wel erg makkelijk om iemand die deze exploit gebruikt te traceren.
jkf @intoxicated7 maart 2002 20:25
Als die dat bij mij doet en vele anderen die een proxy gebruiken merk ik dat snel genoeg. Proxy is namelijk nodig om het internet te kunnen berijken, dus tenzij dat geinporum op het intranet zit zijn vele proxygebruikers veilig.
intoxicated @jkf7 maart 2002 20:46
Dat hoeft uiteraard niet altijd waar te zijn. Veel mensen gebruiken de proxy van hun provider omdat ze denken dat dat sneller is, niet omdat ze het nodig hebben om naar een server te connecten. En wanneer ze dan via een andere proxy internetten, merken ze er dus niets van.

Overigens is het gebruik van een proxy om sneller te internetten allang achterhaald, de meeste proxyservers van provider halen de 100KB/s nog niet eens.
tweakerbee @jkf8 maart 2002 15:01
Hij cached daarentegen wel vaak opgevraagde info, dus ontlast je internet in z'n geheel een aardig stuk :)
Verwijderd @jkf8 maart 2002 15:22
maar dat zijn dan alleen de veel gezochte sites die zo en zo al in de locale cache staan. Naar mijn ervaring werkt het in de praktijk meer tegen dan mee, immers sites die vaak bezocht worden zijn sites die vaak veranderen en daarvoor heeft caching ook geen zin.
Verwijderd @jkf8 maart 2002 11:00
<offtopic>
Best wel leuk als je weet dat telenet in belgie zijn klanten verplicht om via proxy te surfen, je kunt anders niet op het net. En dan zijn hun servers nog enorm mager qua kwaliteit
</offtopic>
Verwijderd @jkf8 maart 2002 13:18
Ik geloof dat die namen ook weleens worden verward, ik weet het zelf ook niet precies, maar vaak zegt men dat een proxy je IP af schermt terwijl het alleen maar een soort cache is, of is dat afschermen van je IP soms het gevolg daarvan ? Maar hoe het ook zei, het lijkt mij dat wanneer je een proxy instelt ze per definitie je informatie kunnen aftappen..
Zarc.oh 7 maart 2002 19:18
Dit is dus één van de weinige nadelen, zo niet de enige, nadelen van Java. Zo'n bug / exploit is van toepassing op meerdere (besturings)systemen.
ik gebruik dus mooi al een tijdje nieuwe mozilla versies zonder proxy, dus ik heb nergens last van... :)
Jelmer 7 maart 2002 19:25
Dit gaat dus alleen om die achterlijke oude java plugins... niet de nieuwe van 1.4 als ik het artikel goed begrepen heb.
onno2 7 maart 2002 19:56
Aan de ene kant is het "verstandig" de lek niet te publiceren, om taloze nieuwsgierige hackers maar op idee te brengen.
Aan de andere kant is het bekendmaken erg belangrijk voor toekomstige verbeteringen,
maar nog belangrijker is dat de consument MAG/MOET weten wat voor gaten of beveiligings lek ze in hun server of pc hebben.
boner 7 maart 2002 21:44
hallo hallo
bespeur ik hier weer eens dat er met twee maten gemeten wordt? ;(
als dit lek alleen in een MS product zou zitten dan zou echt weer eens iedereen BILL van de meest verschikkelijke dingen betichten.
Maar nu naast MS ook lievelingetje SUN en Netscape fout zitten doet iedereen erg heel erg luchtig over.

overigens ben ik het er niet mee oneens dat er genuanceerd over dit soort lekken wordt nagedacht zonder meteen te gaan brullen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq