Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 92 reacties

Een lek dat al jaren aanwezig is in Java maakt Windows-pc's kwetsbaar voor aanvallen van hackers. Het lek zit in het Java Web Start-framework, waarmee ontwikkelaars via een url Java-applicaties kunnen installeren en draaien.

Java Web Start controleert parameters die via een commandline worden ingegeven niet. Via tags op een html-pagina kan een hacker die parameters aansturen, waardoor een gebruiker gehackt kan worden doordat hij een site bezoekt die een voor dit doel geschreven code bevat.

De plugin Java Web Start uitzetten helpt niet, omdat de toolkit apart wordt geïnstalleerd, aldus Tavis Ormandy, een van de onderzoekers die het lek ontdekte. Sun is op de hoogte van het lek, maar vond het niet belangrijk genoeg om een aparte patch uit te brengen. Het lek zal worden gedicht in de volgende patchronde. Sun Microsystems, de ontwikkelaar van Java, brengt elk kwartaal patches uit.

Het lek treft alle Windows-versies en veel gangbare browsers, waaronder Internet Explorer, Firefox en Chrome, schrijft beveiligingsbedrijf Kaspersky Labs. Voorwaarde is uiteraard wel dat Java is geïnstalleerd. Mac OS X-computers worden niet getroffen. Ook computers met Linux hoeven niet te vrezen voor deze kwetsbaarheid, aldus een andere onderzoeker die het lek eveneens ontdekte.

Het is onduidelijk wat een hacker precies kan doen door deze exploit te gebruiken. De onderzoekers willen daar niet diep op ingaan, maar hebben wel een demonstratie online gezet van een internetpagina waarmee het lek misbruikt kan worden.

Moderatie-faq Wijzig weergave

Reacties (92)

en hoe gevaarlijk kunnen die Java-applicaties zijn dan? Het lijkt me dat je om schade toe te brengen of gegevens te checken meer nodig hebt...
en hoe gevaarlijk kunnen die Java-applicaties zijn dan?
In theorie is het aardig veilig.
Het lijkt me dat je om schade toe te brengen of gegevens te checken meer nodig hebt...
Benodigdheden voor exploit via browser: Lekke (Java / Flash / PDF / browser / whatever) client.

Je maak je een pagina met wat HTML (misschien wat JavaScript, CSS. of gebruik maken van plugins ala Java / Flash / etc). Hierna breek je in bij een banner-boer, om je exploit te plaatsen.
De gebruiker naar nu.nl, tweakers.net of andere website waar ze banners van een gehackte banner-boer weergeven. En zonder waarschuwing heb je spyware / adware / .... op je computer.

Of ze doen wat social engineering (telefonisch en/of per e-mail) waardoor je op een linkje klikt. Zolang het resultaat maar is dat de 'gebruiker' (slachtoffer) een pagina opent met een exploit.

Is het nou zo moeilijk te begrijpen voor mensen op tweakers? Waar is het niveau?
NoScript geeft een vals gevoel van veiligheid, als je een domein standaard toestaat omdat je de site vertrouwd, kunnen mensen vanaf dat domein vervolgens een aanval uitvoeren.
NoScript 'faalt' met stellen van een whitelist. Dit is altijd per domein een complete whitelist. Waarom niet per 'vinkje' (silverlight, flash, javascript, java) in de configuratie? (zodat je op een website b.v. enkel JavaScript kan allowen, en Flash en Java b.v. niet).

Perfecte beveiliging bestaat niet.

[Reactie gewijzigd door KingOfDos op 10 april 2010 15:40]

Zou het ook mogelijk zijn om op een domein scripts van derden te blocken, zonder dat domein zelf te blocken?
Voorbeeld: Ik laat alles toe op Tweakers.net behalve scripts afkomstig van bannerads van bijv. doubleclick of iets dergelijks.

[Reactie gewijzigd door Adrianb op 11 april 2010 21:56]

Je kan vanuit Java prima calls doen naar native libraries. Je kan het dus zo gevaarlijk maken als je zelf wil. Eenmaal gedownload, kan een java applicatie zelf weer andere dingen downloaden en die uitvoeren.
Ja lekker dan...

gelukkig dat kaspersky het heeft gevonden, want er draaien toch best een groot aantal dingen via de web-java framework.
want er draaien toch best een groot aantal dingen via de web-java framework.
Volgens mij haal je hier wat begrippen door elkaar. Het artikel gaat over Java Webstart. Java Webstart is een deployment tool voor Java Applicaties over het web (de naam impliceert het ook enigsinds :) ). Ik denk dat je bedoelt dat de installed base van de Java Runtime redelijk groot is ? Java Webstart is als deployment tool namelijk nooit echt groots doorgebroken.

Tevens denk ik dat als je tegen een Java ontwikkelaar zegt 'web-java framework' hij aan een Server Side Java Web oplossing moet denken zoals JSF, JSP, GWT, Servlets, etc. Dit lek heeft absoluut niks te maken met dergelijk frameworks of Server Side Java in het algemeen.
Uh, daar had ik het nou juist over. :+

Ik gebruik er toch een aantal dingen van, maar je ziet het idd niet zo veel als flash :P
Tevens denk ik dat als je tegen een Java ontwikkelaar zegt 'web-java framework' hij aan een Server Side Java Web oplossing moet denken zoals JSF, JSP, GWT, Servlets, etc. Dit lek heeft absoluut niks te maken met dergelijk frameworks of Server Side Java in het algemeen.
gelukkig praat ik niet met java ontwikkelaars, en doe ik zelf alles mooi in c... voor de echte bikkels :Y)
Uh, daar had ik het nou juist over. :+
gelukkig praat ik niet met java ontwikkelaars
Met wie je ook praat, het is geen 'web-java framework', punt. Het is niet eens een framework. Het is een deployment tool voor Java applicaties.

Er zit wel een flink verschil tussen een framework en een tool. Een framework zou impliceren dat Java Webstart iets is wat je bij het programmeren van een Java applicatie gebruikt, wat dus niet het geval is.

Ik kan je vast voor zijn als je zegt: "Maar in de Wikipedia staat:"
In computing, Java Web Start (also known as JavaWS or javaws) is a framework developed by Sun Microsystems..."
Dat een fout is in de wiki. Kijk maar in de officiële documentatie: http://java.sun.com/javas...rsguide/overview.html#jws
Java Web Start is a helper application that gets associated with a Web browser.
En als je de offiecle docs niet gelooft kan ik daar nog wel aan toevoegen dat ik genoeg met webstart gedaan om te weten dat het geen framework is.

[Reactie gewijzigd door JUDGExKTF op 11 april 2010 00:12]

gelukkig praat ik niet met java ontwikkelaars
Vandaar dat je niet weet waar je over praat...

Java Web Start wordt nauwelijks gebruikt op websites.
mwa, denk dat tegenwoordig de installed userbase voor de Java runtime toch behoorlijk is.. En als die runtime dus geinstalleerd is kan het 'probleem' zich voordoen. Kijk maar als je bv OpenOffice gebruikt, dan heb je ook de java-runtime (dat is dan een voorbeeld die 'dummies' misschien herkennen)..
Ja maar dit gaat over Java Web Start (Microsoft heeft ook zoiets voor .net) en niet over het normale framework
Bij het installeren van de runtime komt deze veelal ook mee.
Verschil is de .exe die wordt gestart. Deze zitten echter in dezelfde bin directory :)
Java Webstart is een deployment tool voor Java Applicaties over het web (de naam impliceert het ook enigsinds).
Oei-oei-oei... Blijkbaar heeft JUDGExKTF zich nooit afgevraagd wat het woord enigszins betekent, want wie de betekenis snapt, zal het woord niet snel verkeerd schrijven.
Javascript uitschakelen in de browser een optie dan totdat er een goede fix voorhanden is? Niet dé oplossing natuurlijk.

[Reactie gewijzigd door BLRacing op 10 april 2010 13:46]

Weeral een slimbo, die het verschil niet kent tussen hout en benzine... Een iemand die een t-net account niet waardig is....

Javascript -> Browser -> javascript-engine -> browser render engine
Javascript is net als PHP een script taal, die op voorhand totaal niet hoeft worden gecompileerd

Java -> Browser -> Java-plugin -> Java Interpreter -> Java render engine
net als .NET, flash en silverlight is Java een taal die de op voorhand wel naar binaire bestanden moet worden omzet, echter zijn ze nog niet gecompileerd voor de processor specifiek, vandaar dat crossplatform-programma's meestal in een van bovenstaande talen is geschreven (de tegenhanger van .NET op andere platformen is mono)

In grote lijnen doet een interpreter hetzelfde als een compiler. Een interpretter doet het just in time, waar een compiler op voorhand alle doet.
Javascript is net als PHP een script taal, die op voorhand totaal niet hoeft worden gecompileerd
Javascript en PHP zijn nogal verschillend, Javascript is client-side en PHP server-side.
Javascript is niet perse client side, er zijn diverse server side applicatie platformen geweest die javascript als scripting taal aan de serverkant gebruikten.
Als je nou niet de eerste zin had geschreven was het echt een goede toevoeging geweest aan de discussie.
Dit heeft niets met JavaScript te maken.

Javascript is een scripting taal die binnen een browser wordt geexecuteerd. Waar java applicaties gecompileerd dienen te worden en dmv een interpreter (die dus ergens kwetsbaar blijkt te zijn) draaien.
Compileren doen we dmv een compiler, interpreteren dmv een parser. Overigens zijn de Java apps al gecompiled wanneer deze door de browser worden uitgevoerd.
Ik dacht dat Chrome Javascript compiled? Maar dit weet ik niet zeker.
Javascript valt niet te compilen!!
Java is heeeel wat anders dan javascript!
JavaScript valt prima te compileren (zie Rhino van Mozilla of de diverse embedded JavaScript engines van de browsers van nu).

En inderdaad: Java en JavaScript zijn net zo vergelijkbaar als appels en peren: beide programmeertalen maar daar houd het echt wel op. JavaScript is de naam die Netscape eraan gaf omdat Java net hip en gaaf was en Netscape mee wilde doen. Noem het alsjeblieft gewoon EcmaScript ipv. JavaScript want de laatste paar versies hebben steeds minder vandoen met de JavaScript uit 1998 oid.
Okee, ik heb het even opgezocht, de V8 engine is de JS engine van Chrome.
V8 compiles JavaScript source code directly into machine code when it is first executed.
Van een officiele Google site: http://code.google.com/apis/v8/design.html

Elke taal valt te 'compilen', het ligt hem niet aan de taal of het gecompiled kan worden of niet.
Javascript is wel te compilen. Je hebt zelfs javascript-compilers :P
Dit gaat om Java niet javascript.
Dit heeft volgensmij niks met Javascript te maken. Dit gaat over heel wat anders.
javascript is geen java. Je moet dus java uitschakelen.
als je ajvascript disabled, draaien ook java apps niet meer ;)
Java wordt door een browserplugin geladen, heeft niks met Javascript te maken.
Dat is dus echt niet waar.
Je moet ook toestemming geven voor een jws applicatie wordt gestart.
Maar dit gaat om een URL parsing exploit, wat dus waarschijnlijk vóór het starten is, al bij het downloaden.
Las laatst dat Java ook meer door virusschrijvers ontdekt was en dat virusscanners moeite hebben om kwaadaardige java programma's te herkennen. Misschien gevalletje WC-eend maar lijkt me niet moeilijk om Java te de-installen als je het toch niet gebruikt.
Persoonlijk vind ik JWS irritant trouwens. (En dat voor een Java ontwikkelaar)
Er zullen vast wel patches/oplossing voor komen natuurlijk.
tja, als jij bv openoffice (of als developer Eclipse) gebruikt is het nogal lastig om geen java-runtime te installeren...
In openoffice kun je het java component compleet uitschakelen (grote tip in verband met snelheid trouwens), en als je eclipse geïnstalleerd hebt ben je of een java developer dus heb je die die runtime zowiezo nodig, of je bent een idioot want er zijn tonnen betere IDE's voor andere talen.
Flash Builder, gebaseerd op Eclipse, is de beste IDE (en misschien de enige die die naam waardig is) voor Flash/Flex/AIR.
Je haalt nu Flex builder en Flash door elkaar, Flex builider is een java tool en Flash is een native OSX/Windows applicatie :). Flash builder bestaat niet voor zover ik weet ;)
En Wikipedia verklaart:
Adobe Flash Builder (previously known as Adobe Flex Builder)[1] is an integrated development environment (IDE) built on the Eclipse platform ...
ja, maar het scheelt dat de Java JVM in een securitymanager draait die rechten nodig heeft dmv een policy die met de een policy tooltje gemaakt kan worden. het betekend dus niet dat een webstart applicatie meteen heftige dingen kan doen.
Ik zou het even na moeten zoeken maar draaien webstart apps onder een policy (applets wel inderdaad, maar WebStart ook)?
wat mij eigenlijk interesseert is of ik die web start niet apart kan uitschakelen of iig kan zorgen dat die niet meer gebruikt kan worden...
Ja.
http://seclists.org/fulldisclosure/2010/Apr/119

Daar staan de Killbits voor JWS op Windows genoemd en hoe je dat kan doen.


Maar dit heeft wel weer een hoog firefox-url handler achtig gehalte zeg...

[Reactie gewijzigd door alt-92 op 10 april 2010 18:01]

Hier had ik gisteren nog last van (geen grap).
Ik kwam via een youtube video op een site waar een java app gestart werd.
Voordat ik het wist kreeg ik allerlei vage foutmeldingen.

In mijn process explorer zag ik toen een of andere .exe draaien (met een vage naam).
gelukkig heb ik alles kunnen terminaten en is er niets gebeurd.
Het klinkt allemaal nogal vaag. Hoe weet je zo zeker dat het deze exploit was? Of is dat maar een vaag idee?
Het lek bestaat al jaren, maar nu zijn er ineens twee onderzoekers die dit onafhankelijk van elkaar hebben ontdekt? Dat is wel heel erg toevallig.
Als niemand 't doorhebt hoef je ook niet zo nodig te fixen, zo werkt het meestal he :)

Maargoed, ik vraag me af of 't gewone onderzoekers zijn of mensen die daar ook daadwerkelijk andere dingen mee gaan doen?

Verder: een onderzoeker heeft dit dus 'n jaar geleden al gevonden? Dat ze er dan nu eens achterkomen en het willen fixen ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True