Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen

Een lek dat al jaren aanwezig is in Java maakt Windows-pc's kwetsbaar voor aanvallen van hackers. Het lek zit in het Java Web Start-framework, waarmee ontwikkelaars via een url Java-applicaties kunnen installeren en draaien.

Java Web Start controleert parameters die via een commandline worden ingegeven niet. Via tags op een html-pagina kan een hacker die parameters aansturen, waardoor een gebruiker gehackt kan worden doordat hij een site bezoekt die een voor dit doel geschreven code bevat.

De plugin Java Web Start uitzetten helpt niet, omdat de toolkit apart wordt geïnstalleerd, aldus Tavis Ormandy, een van de onderzoekers die het lek ontdekte. Sun is op de hoogte van het lek, maar vond het niet belangrijk genoeg om een aparte patch uit te brengen. Het lek zal worden gedicht in de volgende patchronde. Sun Microsystems, de ontwikkelaar van Java, brengt elk kwartaal patches uit.

Het lek treft alle Windows-versies en veel gangbare browsers, waaronder Internet Explorer, Firefox en Chrome, schrijft beveiligingsbedrijf Kaspersky Labs. Voorwaarde is uiteraard wel dat Java is geïnstalleerd. Mac OS X-computers worden niet getroffen. Ook computers met Linux hoeven niet te vrezen voor deze kwetsbaarheid, aldus een andere onderzoeker die het lek eveneens ontdekte.

Het is onduidelijk wat een hacker precies kan doen door deze exploit te gebruiken. De onderzoekers willen daar niet diep op ingaan, maar hebben wel een demonstratie online gezet van een internetpagina waarmee het lek misbruikt kan worden.

Reacties (92)

Ewietje 10 april 2010 13:39

en hoe gevaarlijk kunnen die Java-applicaties zijn dan? Het lijkt me dat je om schade toe te brengen of gegevens te checken meer nodig hebt...

Verwijderd @Ewietje • 10 april 2010 15:35

en hoe gevaarlijk kunnen die Java-applicaties zijn dan?

In theorie is het aardig veilig.

Het lijkt me dat je om schade toe te brengen of gegevens te checken meer nodig hebt...

Benodigdheden voor exploit via browser: Lekke (Java / Flash / PDF / browser / whatever) client.

Je maak je een pagina met wat HTML (misschien wat JavaScript, CSS. of gebruik maken van plugins ala Java / Flash / etc). Hierna breek je in bij een banner-boer, om je exploit te plaatsen.
De gebruiker naar nu.nl, tweakers.net of andere website waar ze banners van een gehackte banner-boer weergeven. En zonder waarschuwing heb je spyware / adware / .... op je computer.

Of ze doen wat social engineering (telefonisch en/of per e-mail) waardoor je op een linkje klikt. Zolang het resultaat maar is dat de 'gebruiker' (slachtoffer) een pagina opent met een exploit.

Is het nou zo moeilijk te begrijpen voor mensen op tweakers? Waar is het niveau?
NoScript geeft een vals gevoel van veiligheid, als je een domein standaard toestaat omdat je de site vertrouwd, kunnen mensen vanaf dat domein vervolgens een aanval uitvoeren.
NoScript 'faalt' met stellen van een whitelist. Dit is altijd per domein een complete whitelist. Waarom niet per 'vinkje' (silverlight, flash, javascript, java) in de configuratie? (zodat je op een website b.v. enkel JavaScript kan allowen, en Flash en Java b.v. niet).

Perfecte beveiliging bestaat niet.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 02:14]

Adrianb @Verwijderd • 11 april 2010 21:56

Zou het ook mogelijk zijn om op een domein scripts van derden te blocken, zonder dat domein zelf te blocken?
Voorbeeld: Ik laat alles toe op Tweakers.net behalve scripts afkomstig van bannerads van bijv. doubleclick of iets dergelijks.

[Reactie gewijzigd door Adrianb op 28 juli 2024 02:14]

the_shadow @Ewietje • 10 april 2010 15:31

Je kan vanuit Java prima calls doen naar native libraries. Je kan het dus zo gevaarlijk maken als je zelf wil. Eenmaal gedownload, kan een java applicatie zelf weer andere dingen downloaden en die uitvoeren.

wootah

10 april 2010 13:40

Ja lekker dan...

gelukkig dat kaspersky het heeft gevonden, want er draaien toch best een groot aantal dingen via de web-java framework.

Verwijderd @wootah • 10 april 2010 16:00

want er draaien toch best een groot aantal dingen via de web-java framework.

Volgens mij haal je hier wat begrippen door elkaar. Het artikel gaat over Java Webstart. Java Webstart is een deployment tool voor Java Applicaties over het web (de naam impliceert het ook enigsinds

). Ik denk dat je bedoelt dat de installed base van de Java Runtime redelijk groot is ? Java Webstart is als deployment tool namelijk nooit echt groots doorgebroken.

Tevens denk ik dat als je tegen een Java ontwikkelaar zegt 'web-java framework' hij aan een Server Side Java Web oplossing moet denken zoals JSF, JSP, GWT, Servlets, etc. Dit lek heeft absoluut niks te maken met dergelijk frameworks of Server Side Java in het algemeen.

wootah

@Verwijderd • 10 april 2010 20:24

Uh, daar had ik het nou juist over.

Ik gebruik er toch een aantal dingen van, maar je ziet het idd niet zo veel als flash

Tevens denk ik dat als je tegen een Java ontwikkelaar zegt 'web-java framework' hij aan een Server Side Java Web oplossing moet denken zoals JSF, JSP, GWT, Servlets, etc. Dit lek heeft absoluut niks te maken met dergelijk frameworks of Server Side Java in het algemeen.

gelukkig praat ik niet met java ontwikkelaars, en doe ik zelf alles mooi in c... voor de echte bikkels

Verwijderd @wootah • 11 april 2010 00:11

Uh, daar had ik het nou juist over.

gelukkig praat ik niet met java ontwikkelaars

Met wie je ook praat, het is geen 'web-java framework', punt. Het is niet eens een framework. Het is een deployment tool voor Java applicaties.

Er zit wel een flink verschil tussen een framework en een tool. Een framework zou impliceren dat Java Webstart iets is wat je bij het programmeren van een Java applicatie gebruikt, wat dus niet het geval is.

Ik kan je vast voor zijn als je zegt: "Maar in de Wikipedia staat:"

In computing, Java Web Start (also known as JavaWS or javaws) is a framework developed by Sun Microsystems..."

Dat een fout is in de wiki. Kijk maar in de officiële documentatie: http://java.sun.com/javas...rsguide/overview.html#jws

Java Web Start is a helper application that gets associated with a Web browser.

En als je de offiecle docs niet gelooft kan ik daar nog wel aan toevoegen dat ik genoeg met webstart gedaan om te weten dat het geen framework is.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 02:14]

jj71 @wootah • 11 april 2010 01:40

gelukkig praat ik niet met java ontwikkelaars

Vandaar dat je niet weet waar je over praat...

Java Web Start wordt nauwelijks gebruikt op websites.

SuperDre @Verwijderd • 10 april 2010 17:22

mwa, denk dat tegenwoordig de installed userbase voor de Java runtime toch behoorlijk is.. En als die runtime dus geinstalleerd is kan het 'probleem' zich voordoen. Kijk maar als je bv OpenOffice gebruikt, dan heb je ook de java-runtime (dat is dan een voorbeeld die 'dummies' misschien herkennen)..

GrooV @SuperDre • 10 april 2010 17:34

Ja maar dit gaat over Java Web Start (Microsoft heeft ook zoiets voor .net) en niet over het normale framework

SPee @GrooV • 10 april 2010 22:53

Bij het installeren van de runtime komt deze veelal ook mee.
Verschil is de .exe die wordt gestart. Deze zitten echter in dezelfde bin directory

Verwijderd @Verwijderd • 11 april 2010 11:09

Java Webstart is een deployment tool voor Java Applicaties over het web (de naam impliceert het ook enigsinds).

Oei-oei-oei... Blijkbaar heeft JUDGExKTF zich nooit afgevraagd wat het woord enigszins betekent, want wie de betekenis snapt, zal het woord niet snel verkeerd schrijven.

BLRacing 10 april 2010 13:44

Javascript uitschakelen in de browser een optie dan totdat er een goede fix voorhanden is? Niet dé oplossing natuurlijk.

[Reactie gewijzigd door BLRacing op 28 juli 2024 02:14]

g4wx3 @BLRacing • 10 april 2010 15:24

Weeral een slimbo, die het verschil niet kent tussen hout en benzine... Een iemand die een t-net account niet waardig is....

Javascript -> Browser -> javascript-engine -> browser render engine
Javascript is net als PHP een script taal, die op voorhand totaal niet hoeft worden gecompileerd

Java -> Browser -> Java-plugin -> Java Interpreter -> Java render engine
net als .NET, flash en silverlight is Java een taal die de op voorhand wel naar binaire bestanden moet worden omzet, echter zijn ze nog niet gecompileerd voor de processor specifiek, vandaar dat crossplatform-programma's meestal in een van bovenstaande talen is geschreven (de tegenhanger van .NET op andere platformen is mono)

In grote lijnen doet een interpreter hetzelfde als een compiler. Een interpretter doet het just in time, waar een compiler op voorhand alle doet.

Zer0 @g4wx3 • 10 april 2010 23:20

Javascript is net als PHP een script taal, die op voorhand totaal niet hoeft worden gecompileerd

Javascript en PHP zijn nogal verschillend, Javascript is client-side en PHP server-side.

mxcreep @Zer0 • 11 april 2010 11:19

Javascript is niet perse client side, er zijn diverse server side applicatie platformen geweest die javascript als scripting taal aan de serverkant gebruikten.

PolarBear @g4wx3 • 10 april 2010 18:49

Als je nou niet de eerste zin had geschreven was het echt een goede toevoeging geweest aan de discussie.

Verwijderd @BLRacing • 10 april 2010 13:51

Dit heeft niets met JavaScript te maken.

Javascript is een scripting taal die binnen een browser wordt geexecuteerd. Waar java applicaties gecompileerd dienen te worden en dmv een interpreter (die dus ergens kwetsbaar blijkt te zijn) draaien.

Rvanlaak @Verwijderd • 10 april 2010 14:07

Compileren doen we dmv een compiler, interpreteren dmv een parser. Overigens zijn de Java apps al gecompiled wanneer deze door de browser worden uitgevoerd.

ZpAz

@Rvanlaak • 10 april 2010 14:14

Ik dacht dat Chrome Javascript compiled? Maar dit weet ik niet zeker.

Verwijderd @ZpAz • 10 april 2010 14:38

Javascript valt niet te compilen!!
Java is heeeel wat anders dan javascript!

latka @Verwijderd • 10 april 2010 14:46

JavaScript valt prima te compileren (zie Rhino van Mozilla of de diverse embedded JavaScript engines van de browsers van nu).

En inderdaad: Java en JavaScript zijn net zo vergelijkbaar als appels en peren: beide programmeertalen maar daar houd het echt wel op. JavaScript is de naam die Netscape eraan gaf omdat Java net hip en gaaf was en Netscape mee wilde doen. Noem het alsjeblieft gewoon EcmaScript ipv. JavaScript want de laatste paar versies hebben steeds minder vandoen met de JavaScript uit 1998 oid.

ZpAz

@Verwijderd • 10 april 2010 17:21

Okee, ik heb het even opgezocht, de V8 engine is de JS engine van Chrome.

V8 compiles JavaScript source code directly into machine code when it is first executed.

Van een officiele Google site: http://code.google.com/apis/v8/design.html

Elke taal valt te 'compilen', het ligt hem niet aan de taal of het gecompiled kan worden of niet.

Gamebuster

Java

@Verwijderd • 10 april 2010 21:02

Javascript is wel te compilen. Je hebt zelfs javascript-compilers

Mr_gadget @BLRacing • 10 april 2010 13:46

Dit gaat om Java niet javascript.

Helmore @BLRacing • 10 april 2010 13:47

Dit heeft volgensmij niks met Javascript te maken. Dit gaat over heel wat anders.

Verwijderd @BLRacing • 10 april 2010 13:45

javascript is geen java. Je moet dus java uitschakelen.

hellfighter87 @Verwijderd • 10 april 2010 14:02

als je ajvascript disabled, draaien ook java apps niet meer

compufreak88 @hellfighter87 • 10 april 2010 14:18

Java wordt door een browserplugin geladen, heeft niks met Javascript te maken.

TargetX @hellfighter87 • 10 april 2010 16:15

Dat is dus echt niet waar.

Gert 10 april 2010 13:45

Je moet ook toestemming geven voor een jws applicatie wordt gestart.

Grauw @Gert • 10 april 2010 17:23

Maar dit gaat om een URL parsing exploit, wat dus waarschijnlijk vóór het starten is, al bij het downloaden.

Verwijderd 10 april 2010 14:39

Las laatst dat Java ook meer door virusschrijvers ontdekt was en dat virusscanners moeite hebben om kwaadaardige java programma's te herkennen. Misschien gevalletje WC-eend maar lijkt me niet moeilijk om Java te de-installen als je het toch niet gebruikt.
Persoonlijk vind ik JWS irritant trouwens. (En dat voor een Java ontwikkelaar)
Er zullen vast wel patches/oplossing voor komen natuurlijk.

SuperDre @Verwijderd • 10 april 2010 17:26

tja, als jij bv openoffice (of als developer Eclipse) gebruikt is het nogal lastig om geen java-runtime te installeren...

Bahmi @SuperDre • 10 april 2010 18:41

In openoffice kun je het java component compleet uitschakelen (grote tip in verband met snelheid trouwens), en als je eclipse geïnstalleerd hebt ben je of een java developer dus heb je die die runtime zowiezo nodig, of je bent een idioot want er zijn tonnen betere IDE's voor andere talen.

2playgames @Bahmi • 10 april 2010 19:35

Flash Builder, gebaseerd op Eclipse, is de beste IDE (en misschien de enige die die naam waardig is) voor Flash/Flex/AIR.

Kettrick @2playgames • 10 april 2010 22:28

Je haalt nu Flex builder en Flash door elkaar, Flex builider is een java tool en Flash is een native OSX/Windows applicatie

. Flash builder bestaat niet voor zover ik weet

terje7601 @Kettrick • 11 april 2010 14:41

En Wikipedia verklaart:

Adobe Flash Builder (previously known as Adobe Flex Builder)[1] is an integrated development environment (IDE) built on the Eclipse platform ...

Fishbeast 10 april 2010 13:49

ja, maar het scheelt dat de Java JVM in een securitymanager draait die rechten nodig heeft dmv een policy die met de een policy tooltje gemaakt kan worden. het betekend dus niet dat een webstart applicatie meteen heftige dingen kan doen.

latka @Fishbeast • 10 april 2010 14:48

Ik zou het even na moeten zoeken maar draaien webstart apps onder een policy (applets wel inderdaad, maar WebStart ook)?

derx666 10 april 2010 16:54

wat mij eigenlijk interesseert is of ik die web start niet apart kan uitschakelen of iig kan zorgen dat die niet meer gebruikt kan worden...

alt-92 @derx666 • 10 april 2010 17:55

Ja.
http://seclists.org/fulldisclosure/2010/Apr/119

Daar staan de Killbits voor JWS op Windows genoemd en hoe je dat kan doen.

Maar dit heeft wel weer een hoog firefox-url handler achtig gehalte zeg...

[Reactie gewijzigd door alt-92 op 28 juli 2024 02:14]

TheMatrixHasYou 10 april 2010 17:31

Hier had ik gisteren nog last van (geen grap).
Ik kwam via een youtube video op een site waar een java app gestart werd.
Voordat ik het wist kreeg ik allerlei vage foutmeldingen.

In mijn process explorer zag ik toen een of andere .exe draaien (met een vage naam).
gelukkig heb ik alles kunnen terminaten en is er niets gebeurd.

jj71 @TheMatrixHasYou • 11 april 2010 01:44

Het klinkt allemaal nogal vaag. Hoe weet je zo zeker dat het deze exploit was? Of is dat maar een vaag idee?

CherandarGuard 10 april 2010 13:49

Het lek bestaat al jaren, maar nu zijn er ineens twee onderzoekers die dit onafhankelijk van elkaar hebben ontdekt? Dat is wel heel erg toevallig.

Snicksie @CherandarGuard • 10 april 2010 14:16

Als niemand 't doorhebt hoef je ook niet zo nodig te fixen, zo werkt het meestal he

Maargoed, ik vraag me af of 't gewone onderzoekers zijn of mensen die daar ook daadwerkelijk andere dingen mee gaan doen?

Verder: een onderzoeker heeft dit dus 'n jaar geleden al gevonden? Dat ze er dan nu eens achterkomen en het willen fixen

neeecht 10 april 2010 19:34

http://java.com/en/download/javacom_update.jsp

Java 6 Update 19. Nu net.

Verwijderd @neeecht • 10 april 2010 20:32

Die is er dus al sinds 31/03 en lost dit probleem niet op.

http://www.security.nl/ar...ernstige_Java-lekken.html

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (92)

Sorteer op:

Weergave: