image

Weer nieuwe Java-lekken ontdekt

maandag 25 februari 2013, 13:02 door Redactie, 10 reacties

Een Pools beveiligingsbedrijf heeft twee nieuwe beveiligingslekken in de meest recente versie van Java 7 ontdekt waardoor aanvallers uit de Java-sandbox kunnen ontsnappen om vervolgens het onderliggende systeem over te nemen. De kwetsbaarheden zijn alleen aanwezig in Java 7, Java 6 zou niet kwetsbaar zijn, aldus Adam Gowdiak van Security Explorations tegenover Security.NL.

De twee nieuwe beveiligingsproblemen moeten worden gecombineerd om uit de sandbox-beveiliging te ontsnappen en worden door het Poolse bedrijf als beveiligingslek 54 en 55 bestempeld. Oracle is inmiddels ingelicht en van een werkende proof-of-concept exploit voorzien.

Java 7
Gowdiak geeft geen verdere details, behalve dat het probleem specifiek in Java 7 aanwezig is en op een 'vrij interessante manier' misbruik van de Reflection API mogelijk maakt. "Zonder in al teveel detail te treden, wijst alles erop dat Oracle nu aan zet is", aldus de Poolse onderzoeker.

Oracle kondigde vorige week aan dat het updates voor Java eerder gaat uitbrengen. De volgende patchcyclus staat voor 16 april gepland. Een update voor de nu ontdekte problemen is nog niet beschikbaar.

Reacties (10)
25-02-2013, 17:32 door Anoniem
Deze beveiligingslekken zijn alleen voor versie 1.7
Misschien is de versie van SUN 1.6 update 41 nu even veiliger.
25-02-2013, 23:11 door Marco3
Dat zal vast weer als goed nieuws binnen komen bij Oracle, dit betekend weer een nieuwe patch waar ze de Ask toolbar in mee kunnen pushen. Cashen maar!
25-02-2013, 23:14 door Didier Stevens
Op Twitter las ik ook dat er paardenvlees in Java gevonden was.
25-02-2013, 23:34 door Marco3
Toen ik onderlaatst Java installeerde, kreeg ik te zien dat het ook in kassa's en autoradio's zat.
Ik betaal daarom helemaal niks meer bij kassa's, en mijn autoradio doe ik ook niet meer aan.

Het wachten is op de eerste gek die mij zegt dat het ook in stoplichten zit, dan kun je beter binnen blijven....
26-02-2013, 00:01 door [Account Verwijderd]
[Verwijderd]
26-02-2013, 13:29 door Anoniem
Door Marco3: Dat zal vast weer als goed nieuws binnen komen bij Oracle, dit betekend weer een nieuwe patch waar ze de Ask toolbar in mee kunnen pushen. Cashen maar!

ASK toolbar is niet eens in de update meegenomen
27-02-2013, 09:38 door Ed Dekker
27-02-2013, 13:47 door Marco3
Door Anoniem:
Door Marco3: Dat zal vast weer als goed nieuws binnen komen bij Oracle, dit betekend weer een nieuwe patch waar ze de Ask toolbar in mee kunnen pushen. Cashen maar!

ASK toolbar is niet eens in de update meegenomen

Check je feiten aub, de Ask toolbar zit er wel degelijk weer (of nog steeds) in.
02-03-2013, 09:29 door [Account Verwijderd]
[Verwijderd]
05-03-2013, 08:45 door Ed Dekker
@Krakatau
Het gaat mij om het beveiligingsmodel van Java. Dat is behoorlijk stuk. Via de browser plug-in wordt dat heel duidelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.