Veiligheidslekken gevonden in Sun Java-plugin en Winamp

Op InfoWorld wordt gemeld dat er een serieus veiligheidslek aanwezig is in de Java-plugins voor internetbrowsers. Door dit lek is het mogelijk om met behulp van een stukje Javascript een onveilige Java-klasse te laden, iets dat normaal gesproken onmogelijk hoort te zijn. Op deze manier kan dus door een vreemde een applet gestart worden dat bestanden kan openen, downloaden, uploaden en uitvoeren en dat toegang heeft tot het lokale netwerk van de gebruiker met de onveilige Java Virtual Machine. Dit lek is een flinke tegenvaller voor Sun. Het bedrijf presenteerde Java altijd als een erg veilig systeem in tegenstelling tot bijvoorbeeld de COM-structuur van Microsoft. Voor het lek is geen workaround beschikbaar, het kan enkel verholpen worden door ondersteuning voor Javascript of Java applets uit te schakelen of door de SDK en de JRE op te waarderen tot versie 1.4.2_06 en 1.3.1_13.

Ook in de laatste versie van Winamp is een serieus veiligheidslek gevonden, zo meldt Secunia. In het CDDA_IN.dll-bestand dat bij dit programma geleverd wordt, bevindt zich een fout waardoor op verschillende manieren een stack-based buffer overflow gecreëerd kan worden. Deze buffer overflow kan dan weer gebruikt worden om code van de aanvaller uit te voeren op het systeem van het slachtoffer. Door op bijvoorbeeld een website een speciale M3U-playlist aan te bieden kan dit lek al misbruikt worden. De fout werd voor het eerst gemeld in versie 5.05 en in versie 5.06 is deze wederom aanwezig. Het is niet bekend of eerdere versies ook gevoelig zijn voor dit lek. Omdat er nog geen patch is, wordt op dit moment aangeraden om Winamp niet meer te associëren met CDA- en M3U-bestanden.

Door Matthijs Abma

Feedback • 26-11-2004 21:35 29

26-11-2004 • 21:35

29

Bron: InfoWorld

Lees meer

'Veelgebruikte opensource-Java-libraries vertonen kwetsbaarheden'
'Veelgebruikte opensource-Java-libraries vertonen kwetsbaarheden' Nieuws van 26 maart 2012
Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen
Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen Nieuws van 10 april 2010
Gebruik Winamp afgeraden vanwege exploit (update)
Gebruik Winamp afgeraden vanwege exploit (update) Nieuws van 30 januari 2006
Drie kritieke bugs in Suns Java-engine
Drie kritieke bugs in Suns Java-engine Nieuws van 30 november 2005
Niet-Microsoft software wordt vaker doelwit van hackers
Niet-Microsoft software wordt vaker doelwit van hackers Nieuws van 2 mei 2005
Java-licentie krijgt grote opfrisbeurt
Java-licentie krijgt grote opfrisbeurt Nieuws van 16 maart 2005
Hidoors wil drijvende motor achter embedded Java worden
Hidoors wil drijvende motor achter embedded Java worden Nieuws van 25 februari 2005
Sun presenteert tegenvallende kwartaalomzet
Sun presenteert tegenvallende kwartaalomzet Nieuws van 14 januari 2005
Opnieuw kwetsbaarheden gevonden in IE en Mozilla
Opnieuw kwetsbaarheden gevonden in IE en Mozilla Nieuws van 8 januari 2005
Plextor helpt bij ontwikkeling standaard voor beveiligde cd
Plextor helpt bij ontwikkeling standaard voor beveiligde cd Nieuws van 8 november 2004
Symantec richt zich op securitysoftware voor smartphones
Symantec richt zich op securitysoftware voor smartphones Nieuws van 4 november 2004
Ernstig veiligheidsgat gevonden in Googles Gmail
Ernstig veiligheidsgat gevonden in Googles Gmail Nieuws van 31 oktober 2004
Bedrijven werken samen aan veiligere mobiele apparaten
Bedrijven werken samen aan veiligere mobiele apparaten Nieuws van 28 oktober 2004
Mythen over veiligheid van Windows en Linux ontkracht
Mythen over veiligheid van Windows en Linux ontkracht Nieuws van 23 oktober 2004
Nieuwe kwetsbaarheden ontdekt in internetbrowsers
Nieuwe kwetsbaarheden ontdekt in internetbrowsers Nieuws van 22 oktober 2004
Microsoft waarschuwt voor lekken en brengt patches uit
Microsoft waarschuwt voor lekken en brengt patches uit Nieuws van 13 oktober 2004
SANS komt opnieuw met top-20 van veiligheidslekken
SANS komt opnieuw met top-20 van veiligheidslekken Nieuws van 9 oktober 2004
Ernstige lekken in bètaversie MSN Messenger 7
Ernstige lekken in bètaversie MSN Messenger 7 Nieuws van 8 oktober 2004
Steeds meer belangstelling voor biometrische beveiliging
Steeds meer belangstelling voor biometrische beveiliging Nieuws van 30 september 2004
Meer producten en artikelen
Software

Reacties (29)

-Moderatie-faq
29
27
13
9
2
0
Wijzig sortering
Verwijderd 26 november 2004 21:55
Dit lek is een flinke tegenvaller voor Sun. Het bedrijf presenteerde Java altijd als een erg veilig systeem in tegenstelling tot bijvoorbeeld de COM-structuur van Microsoft.
Java is nog steeds heel veilig, de bug is immers alleen gevonden in een oude versie. Ik snap dan ook niet dat er gezegd wordt dat er geen workaround beschikbaar is, het probleem is al opgelost!.
Verwijderd @Verwijderd27 november 2004 12:52
Misschien is het probleem wel opgelost, maar de meeste gebruikers zullen de oude versies nog gebruiken en ook niet weten dat ze moeten upgraden. Dit zullen ze met de hand moeten doen, dus exploids zijn nog steeds heel effectief om te maken.
_Thanatos_ @Verwijderd27 november 2004 16:01
Gebruikers die zelf een Java VM installeren, upgraden vast weleens naar een nieuwe versie. Bovendien heeft de VM ook een auto-update functie (wist ik ook niet, tot ik rechtsonderin een ballon zag met de mededeling dat er een nieuwe VM beschikbaar is).

Enige probleem is gebruikers die een *hele* oude versie hebben, waar toch niks meer op draait, of de inferieure VM van MS...
Verwijderd @Verwijderd27 november 2004 13:32
Misschien is het probleem wel opgelost, maar de meeste gebruikers zullen de oude versies nog gebruiken en ook niet weten dat ze moeten upgraden. Dit zullen ze met de hand moeten doen, dus exploids zijn nog steeds heel effectief om te maken.
dan ligt de fout bij de gebruiker, en niet bij sun. iemand die geen service pack installeert op zijn win xp zal ook snel last hebben van bv: blaster. is dit de fout van ms?
dat dit nog een nieuwspost waard is.....
de Rochebrune 27 november 2004 11:19
Kijk uit, de automatische update functie van Sun Java ziet niet dat er een nieuwe verbeterde versie .06 is. Erg slordig vind ik.
Dus zelf downloaden van http://java.sun.com/j2se/1.4.2/download.html

Wat betreft die bug in de Winamp CD-reader plugin. Je kunt natuurlijk wel een alternatief gebruiken. Zie bijv. de CD reader van Copah: http://www.url.ru/~copah/
(Deze werkt bij beschadigde CD's sowieso beter dan de standaard plugin van Winamp.)
mossel 26 november 2004 22:46
Wat dat betreft is dus de actie van Winamp veel kwalijker, een bekende veiligheidslek niet (kunnen?) verhelpen.
Madcat 26 november 2004 22:55
ik vraag me trouwens af of de AMD's 64 NoExecute de fout in winamp zal verhelpen.. deze was toch bedoelt om overflows te beschermen van het executeren?
Verwijderd 26 november 2004 23:59
In het origineel artikel van Infoworld (http://www.infoworld.com/article/04/11/24/HNsunhot_1.html), staat er:
In disclosing the vulnerability, Sun says there is no workaround, and recommends that users of SDK and its JRE subset move to versions 1.4.2_06 and later or 1.3.1_13 and later -- both of which are available from java.sun.com.
Dus is de bug ook gefixt in versie SDK 1.5, en niét alleen in SDK 1.4.2_06.
bartvb @Verwijderd27 november 2004 10:07
Wel een beetje jammer dat de update me nu 1.4.2_05-b04 wil laten installeren via de automatische update en op www.java.com krijg ik de melding dat ik Java al geinstalleerd heb. Ja, duh :\

Is er overigens ergens een fatsoenlijke kloon van WinAmp 1.x? Die 5.x meuk is veel te groot/lomp/traag en andere spelers die ik geprobeert heb ondersteunen of geen quicksearch (J key in winamp) of geen shading zodat m'n schermpje nog maar 640x15 pixels in beslag neemt...
Juup @bartvb27 november 2004 12:32
die ik geprobeerd heb
Ro-Maniak2 27 november 2004 13:28
Omdat er nog geen patch is, wordt op dit moment aangeraden om Winamp niet meer te associëren met CDA- en M3U-bestanden...
Ik raad je wat anders aan: gebruik een alternatieve Cd-reader plugin voor WinAmp en rename (of delete) in_cdda.dll.

Bijvoorbeeld CD Reader, [url="http:///www.url.ru/~copah"]http:///www.url.ru/~copah[/url] die ik al jaren gebruik. Geeft nog betere geluidskwaliteit ook, omdat er digitale extractie gebruikt wordt.

[edit]Aaargh, pagina niet gereload dus beetje dubbel zie hierboven (8>...
ytsmabeer 26 november 2004 22:23
En java controleerd zelf of er een update is. dus de meeste mensen zullen binnen kort de update wel binnen halen.
Juup @ytsmabeer27 november 2004 12:30
controleert
kimborntobewild 27 november 2004 04:34
Omdat er nog geen patch is, wordt op dit moment aangeraden om Winamp niet meer te associëren met CDA- en M3U-bestanden
...Misschien kun je de CDA bestanden maar 't beste NERGENS meer aan koppelen... Wmplayer staat iig ook niet erg bekend om zijn doortimmerde veiligheid...
Guardian Angel @Verwijderd26 november 2004 22:24
In dat geval was het misschien wel zo aardig en handig geweest om het zelf als nieuws in te sturen.

Niet alle gebruikers lopen alle websites af voor nieuws immers?
martijnvanegdom 26 november 2004 21:42
SDK 1.4.2_06 is al ietsje ouder.. Gaan we nu ook bugs in windows ME breeduit meten..

Gewoon upgraden naar 1.5 die is nog sneller ook..
CornelisJ @martijnvanegdom26 november 2004 21:48
Het probleem is juist verholpen in versie 1.4.2_06
Verwijderd @martijnvanegdom26 november 2004 22:09
Idd ja ben benieuwd hoe dat zit met 1.5

Kon niets op de (altijd zeer onoverzichtelijke) Sun site over vinden trouwens. Maar 1.5 is later uitgekomen dan die gefixte oudere versies dus lijkt me logisch dat die deze bug niet hebben.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq