image

Oracle dicht 42 Java-lekken en Pwn2Own-exploits

woensdag 17 april 2013, 09:59 door Redactie, 7 reacties

Oracle heeft zoals maandag aangekondigd belangrijke beveiligingsupdates voor Java uitgebracht die in totaal 42 lekken verhelpen. Onder de verholpen kwetsbaarheden bevinden zich ook vier lekken die tijdens de Pwn2Own-hackerwedstrijd werden ontdekt. De wedstrijd stond in het teken van de veiligheid van browsers en plug-ins, waarbij Java als enige meerdere keren werd gehackt.

In totaal sneuvelde Java door toedoen van verschillende beveiligingsonderzoekers vier keer. Van de 42 kwetsbaarheden zijn er 39 zo ernstig dat een aanvaller het systeem kan overnemen als de gebruiker een gehackte of kwaadaardige website bezoekt.

Update
De problemen zijn ook aanwezig in Java 5 en Java 6, die oorspronkelijk niet meer door Oracle ondersteund worden. In februari verscheen er echter een noodpatch voor Java 6 en ook nu is er een update voor Java 6 verschenen. Toch krijgen gebruikers het advies om naar Java 7 te upgraden.

De nieuwste versies van Java beschikken over een updater die voor nieuwe versies waarschuwt, maar voor wie daar niet op wil wachten is de update ook via Java.com te downloaden.

Reacties (7)
17-04-2013, 10:05 door Anoniem
De nu altijd getoonde waarschuwing voor unsigned applets zal er toe leiden dat aanvallers op zoek zullen gaan naar private keys (voor code signing). Het is dus zaak om die goed af te schermen.

Ik vrees dat veel ontwikkelaars dat niet goed voor elkaar hebben. Waarschijnlijk zal er veel signed malware met gestolen credentials verschijnen, hetgeen het hele publieke PKI systeem verder ondermijnt.
17-04-2013, 10:24 door [Account Verwijderd]
[Verwijderd]
17-04-2013, 11:03 door Anoniem
Door Krakatau:

42 lekken gedicht! Wow! Oracle is goed bezig!

Mijn stelling is dat als je in 2 maanden 42 lekken kunt vinden, en dit kunstje al een aantal malen hebt kunnen herhalen, er nog een veelvoud van dat aantal aanwezig moet zijn.

("als je veel bugs vindt dan is de dichtheid groot")
17-04-2013, 12:20 door Rasalom
Door Krakatau: 42 lekken gedicht! Wow! Oracle is goed bezig!
Geen idee. Als je een emmer cement tegen 10 vierkante meter kippengaas gooit dicht je misschien ook 42 gaten, maar daarmee is het gaas niet dicht.
17-04-2013, 14:46 door [Account Verwijderd]
[Verwijderd]
17-04-2013, 14:49 door [Account Verwijderd]
[Verwijderd]
17-04-2013, 15:43 door Anoniem
Door Krakatau:
Door Anoniem:
Door Krakatau:
42 lekken gedicht! Wow! Oracle is goed bezig!
Mijn stelling is dat als je in 2 maanden 42 lekken kunt vinden, en dit kunstje al een aantal malen hebt kunnen herhalen, er nog een veelvoud van dat aantal aanwezig moet zijn.

("als je veel bugs vindt dan is de dichtheid groot")
Het aantal gevonden bugs is in dit geval eerder een gevolg van:

- de populariteit van Java, waardoor het voor cybercriminelen interessant is om zich op te concentreren;
- de grootte en complexiteit, waardoor je allicht wel ergens in een hoekje een bug zal vinden (dat geldt voor elk stuk grote en complexe software).
Dat geloof ik allemaal graag, maar wat ik alleen maar wilde aangeven is dat alle tekenen er op wijzen dat het eind nog lang niet in zicht is.
Pas als er een keer een update verschijnt die 1 lek fixt en er geen bekende lekken meer zijn ga je in die buurt komen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.