image

Ernstig beveiligingslek in Sun Java door GIF plaatjes

woensdag 17 januari 2007, 15:22 door Redactie, 13 reacties

Onderzoekers hebben een zeer ernstig beveiligingslek in de Sun Java Runtime Environment (JRE) gevonden waardoor een aanvaller kwetsbare machines volledig kan overnemen. Het probleem wordt veroorzaakt door het verwerken van GIF afbeeldingen en zorgt voor een heap-based buffer overflow als er een speciaal GIF plaatje met een breedte van 0 wordt verwerkt. De exploit zorgt ervoor dat de aanvaller willekeurige code kan uitvoeren.

De volgende versies zijn kwetsbaar:

  • JDK en JRE 5.0 Update 9 en eerder.
  • SDK en JRE 1.4.2_12 en eerder.
  • SDK en JRE 1.3.1_18 en eerder.

    Alle Java gebruikers wordt dringend aangeraden te upgraden naar JDK en JRE 5.0 Update 10, SDK en JRE 1.4.2_13 of SDK en JRE 1.3.1_19 of nieuwere versies als die al beschikbaar zijn. Het lek was al op 16 juni vorig jaar aan Sun bekend gemaakt. (Secunia)

    Met dank aan Walter en Peter V. voor het melden van dit nieuws

  • Reacties (13)
    17-01-2007, 15:50 door Anoniem
    Ik gebruik al maanden 6.0, dus als iedereen eens wat eerder
    java update, dan is er niets aan de hand.
    17-01-2007, 16:33 door Anoniem
    Door Anoniem
    Ik gebruik al maanden 6.0, dus als iedereen eens wat eerder
    java update, dan is er niets aan de hand.
    Toch knap dat jij 6.0 hebt als 1.5.0_10 de laatste versie is volgens de Java
    site.
    17-01-2007, 17:06 door [Account Verwijderd]
    [Verwijderd]
    17-01-2007, 18:15 door Baloe
    Door NielsT

    Op java.com staat hij inderdaad nog niet, maar op
    java.sun.com (voor ontwikkelaars) is 6.0 al wel
    vrijgegeven.

    Ook voor eindgebruikers

    Door java.sun.com
    Java Runtime Environment (JRE) 6
    The Java SE Runtime Environment (JRE) allows end-users to
    run Java applications.
    17-01-2007, 18:24 door G-Force
    Na het installeren van de nieuwe Sun Java moet men wel de
    oude lekke versie verwijderen via het pictogram Software in
    het configuratiescherm.
    17-01-2007, 18:36 door Anoniem
    17-01-2007, 19:28 door Anoniem
    Waarom zorgt men er daar niet voor dat de oude versie
    vanzelf verwijderd wordt en de nieuwe erbij komt? Ik vind
    het raar.
    17-01-2007, 20:10 door Lionheart
    Door Anoniem
    Ik gebruik al maanden 6.0, dus als iedereen eens wat eerder
    java update, dan is er niets aan de hand.

    Iemand die blijkbaar niet helemaal snapt hoe het er in het
    "echte" leven aan toe gaat in ieder geval ;-)

    Daarnaast: erg slecht gecommuniceerd van Sun... erg weinig
    mensen weten maar dat JRE 6 er is... daarnaast bied hun auto
    update pas sindskort update 10 aan...
    17-01-2007, 20:56 door Anoniem
    Door Lionheart
    Door Anoniem
    Ik gebruik al maanden 6.0, dus als iedereen eens wat eerder
    java update, dan is er niets aan de hand.

    Iemand die blijkbaar niet helemaal snapt hoe het er in het
    "echte" leven aan toe gaat in ieder geval ;-)

    Daarnaast: erg slecht gecommuniceerd van Sun... erg weinig
    mensen weten maar dat JRE 6 er is... daarnaast bied hun auto
    update pas sindskort update 10 aan...

    ja, ik behoor denk ik inderdaad niet tot het gros.
    17-01-2007, 21:53 door Anoniem
    Ik gebruik al maanden 6.0, dus als iedereen eens wat
    eerder
    java update, dan is er niets aan de hand.

    Niet alles werkt met de laatste releases. Ik heb spullen die
    alleen goed werken met 1.4.
    Gisteren heb ik nog een stuk software van 10 jaar oud moeten
    starten en die had een 1.1 nodig, gelukkig zat de jre er
    apart bij.
    17-01-2007, 23:49 door Anoniem
    "De exploit zorgt ervoor dat de aanvaller willekeurige code
    kan uitvoeren".
    ==> Binnen de rechten die de gebruiker heeft, dus... <==
    Daar zit nu iedere keer het grote probleem; bij Unix(en)
    heeft een gebruiker beperkte rechten en bij Windows niet
    (met name het thuisgebruik bedoel ik dan).
    19-01-2007, 13:25 door sjonniev
    .GIF gaat bij mij zowiezo al niet meer door de contentfilter...
    22-01-2007, 11:34 door Anoniem
    Door Anoniem
    "De exploit zorgt ervoor dat de aanvaller willekeurige code
    kan uitvoeren".
    ==> Binnen de rechten die de gebruiker heeft, dus... <==
    Daar zit nu iedere keer het grote probleem; bij Unix(en)
    heeft een gebruiker beperkte rechten en bij Windows niet
    (met name het thuisgebruik bedoel ik dan).

    Zolang ze mijn data kunnen wissen, of kunnen doorspelen aan
    derden, helpt me dat helemaal niets. En ja, dan kan je gaan
    klooien met een andere user account voor je browser (en
    teksverwerker, en ...), maar dat kan in Windows net zo goed.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.