Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties
Bron: InfoWorld

Op InfoWorld wordt gemeld dat er een serieus veiligheidslek aanwezig is in de Java-plugins voor internetbrowsers. Door dit lek is het mogelijk om met behulp van een stukje Javascript een onveilige Java-klasse te laden, iets dat normaal gesproken onmogelijk hoort te zijn. Op deze manier kan dus door een vreemde een applet gestart worden dat bestanden kan openen, downloaden, uploaden en uitvoeren en dat toegang heeft tot het lokale netwerk van de gebruiker met de onveilige Java Virtual Machine. Dit lek is een flinke tegenvaller voor Sun. Het bedrijf presenteerde Java altijd als een erg veilig systeem in tegenstelling tot bijvoorbeeld de COM-structuur van Microsoft. Voor het lek is geen workaround beschikbaar, het kan enkel verholpen worden door ondersteuning voor Javascript of Java applets uit te schakelen of door de SDK en de JRE op te waarderen tot versie 1.4.2_06 en 1.3.1_13.

Ook in de laatste versie van Winamp is een serieus veiligheidslek gevonden, zo meldt Secunia. In het CDDA_IN.dll-bestand dat bij dit programma geleverd wordt, bevindt zich een fout waardoor op verschillende manieren een stack-based buffer overflow gecreëerd kan worden. Deze buffer overflow kan dan weer gebruikt worden om code van de aanvaller uit te voeren op het systeem van het slachtoffer. Door op bijvoorbeeld een website een speciale M3U-playlist aan te bieden kan dit lek al misbruikt worden. De fout werd voor het eerst gemeld in versie 5.05 en in versie 5.06 is deze wederom aanwezig. Het is niet bekend of eerdere versies ook gevoelig zijn voor dit lek. Omdat er nog geen patch is, wordt op dit moment aangeraden om Winamp niet meer te associëren met CDA- en M3U-bestanden.

Moderatie-faq Wijzig weergave

Reacties (29)

Dit lek is een flinke tegenvaller voor Sun. Het bedrijf presenteerde Java altijd als een erg veilig systeem in tegenstelling tot bijvoorbeeld de COM-structuur van Microsoft.
Java is nog steeds heel veilig, de bug is immers alleen gevonden in een oude versie. Ik snap dan ook niet dat er gezegd wordt dat er geen workaround beschikbaar is, het probleem is al opgelost!.
Misschien is het probleem wel opgelost, maar de meeste gebruikers zullen de oude versies nog gebruiken en ook niet weten dat ze moeten upgraden. Dit zullen ze met de hand moeten doen, dus exploids zijn nog steeds heel effectief om te maken.
Gebruikers die zelf een Java VM installeren, upgraden vast weleens naar een nieuwe versie. Bovendien heeft de VM ook een auto-update functie (wist ik ook niet, tot ik rechtsonderin een ballon zag met de mededeling dat er een nieuwe VM beschikbaar is).

Enige probleem is gebruikers die een *hele* oude versie hebben, waar toch niks meer op draait, of de inferieure VM van MS...
Misschien is het probleem wel opgelost, maar de meeste gebruikers zullen de oude versies nog gebruiken en ook niet weten dat ze moeten upgraden. Dit zullen ze met de hand moeten doen, dus exploids zijn nog steeds heel effectief om te maken.
dan ligt de fout bij de gebruiker, en niet bij sun. iemand die geen service pack installeert op zijn win xp zal ook snel last hebben van bv: blaster. is dit de fout van ms?
dat dit nog een nieuwspost waard is.....
Kijk uit, de automatische update functie van Sun Java ziet niet dat er een nieuwe verbeterde versie .06 is. Erg slordig vind ik.
Dus zelf downloaden van http://java.sun.com/j2se/1.4.2/download.html

Wat betreft die bug in de Winamp CD-reader plugin. Je kunt natuurlijk wel een alternatief gebruiken. Zie bijv. de CD reader van Copah: http://www.url.ru/~copah/
(Deze werkt bij beschadigde CD's sowieso beter dan de standaard plugin van Winamp.)
Wat dat betreft is dus de actie van Winamp veel kwalijker, een bekende veiligheidslek niet (kunnen?) verhelpen.
ik vraag me trouwens af of de AMD's 64 NoExecute de fout in winamp zal verhelpen.. deze was toch bedoelt om overflows te beschermen van het executeren?
In het origineel artikel van Infoworld (http://www.infoworld.com/article/04/11/24/HNsunhot_1.html), staat er:
In disclosing the vulnerability, Sun says there is no workaround, and recommends that users of SDK and its JRE subset move to versions 1.4.2_06 and later or 1.3.1_13 and later -- both of which are available from java.sun.com.
Dus is de bug ook gefixt in versie SDK 1.5, en niét alleen in SDK 1.4.2_06.
Wel een beetje jammer dat de update me nu 1.4.2_05-b04 wil laten installeren via de automatische update en op www.java.com krijg ik de melding dat ik Java al geinstalleerd heb. Ja, duh :\

Is er overigens ergens een fatsoenlijke kloon van WinAmp 1.x? Die 5.x meuk is veel te groot/lomp/traag en andere spelers die ik geprobeert heb ondersteunen of geen quicksearch (J key in winamp) of geen shading zodat m'n schermpje nog maar 640x15 pixels in beslag neemt...
die ik geprobeerd heb
Omdat er nog geen patch is, wordt op dit moment aangeraden om Winamp niet meer te associëren met CDA- en M3U-bestanden...
Ik raad je wat anders aan: gebruik een alternatieve Cd-reader plugin voor WinAmp en rename (of delete) in_cdda.dll.

Bijvoorbeeld CD Reader, http:///www.url.ru/~copah die ik al jaren gebruik. Geeft nog betere geluidskwaliteit ook, omdat er digitale extractie gebruikt wordt.

[edit]Aaargh, pagina niet gereload dus beetje dubbel zie hierboven (8>...
En java controleerd zelf of er een update is. dus de meeste mensen zullen binnen kort de update wel binnen halen.
Omdat er nog geen patch is, wordt op dit moment aangeraden om Winamp niet meer te associëren met CDA- en M3U-bestanden
...Misschien kun je de CDA bestanden maar 't beste NERGENS meer aan koppelen... Wmplayer staat iig ook niet erg bekend om zijn doortimmerde veiligheid...
In dat geval was het misschien wel zo aardig en handig geweest om het zelf als nieuws in te sturen.

Niet alle gebruikers lopen alle websites af voor nieuws immers?
SDK 1.4.2_06 is al ietsje ouder.. Gaan we nu ook bugs in windows ME breeduit meten..

Gewoon upgraden naar 1.5 die is nog sneller ook..
Het probleem is juist verholpen in versie 1.4.2_06
Idd ja ben benieuwd hoe dat zit met 1.5

Kon niets op de (altijd zeer onoverzichtelijke) Sun site over vinden trouwens. Maar 1.5 is later uitgekomen dan die gefixte oudere versies dus lijkt me logisch dat die deze bug niet hebben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True