Ernstig Java-lek in alle Windows versies
Beveiligingsonderzoekers hebben een ernstig lek in Java ontdekt, waardoor aanvallers alle Windows versies kunnen overnemen. Het probleem zit hem in het Java Web Start framework, een technologie van Sun Microsystems dat het ontwikkelen van Java applicaties vereenvoudigt. Doordat het framework opgegeven parameters niet goed valideert, kan een aanvaller kwaadaardige opdrachten uitvoeren. Het probleem werd door onderzoekers Ruben Santamarta en Tavis Ormandy tegelijkertijd en onafhankelijk van elkaar gemeld.
Oplossing
De kwetsbaarheid is aanwezig in alle versies sinds Java SE 6 update 10 voor Microsoft Windows. Het uitschakelen van de Java plugin in de browser is volgens Ormandy niet voldoende om misbruik te voorkomen, aangezien Java Web Start los wordt geïnstalleerd. Toch is er wel een oplossing. Gebruikers van Internet Explorer moeten een killbit instellen (mogelijk via AxBan), terwijl Firefox-gebruikers toegang tot het bestand npdeploytk.dll moeten voorkomen.
Sun is inmiddels ingelicht, maar de ontwikkelaar liet weten dat het lek niet ernstig genoeg is om de patchcyclus die elk kwartaal plaatsvindt te onderbreken. "Voor verschillende redenen, heb ik uitgelegd dat ik het hier niet mee eens ben", aldus Ormandy. Het verwijderen van Java is dan ook de beste oplossing, zegt Julien Tinnes, die het de 'Javocalypse' noemt. Inmiddels is er ook een proof-of-concept online verschenen die het probleem demonstreert.
Reacties (28)
Ik vraag me al langer af of Java wel echt nodig is op mijn Windows-machine. Kan iemand deze leek daarom aub vertellen welke belangrijke main stream programma's het nodig hebben? Alvast hartelijk dank.
Hoezo alle Windows versies? Sinds Windows XP SP 1a staat Java niet meer standaard op Windows.
"terwijl Firefox-gebruikers toegang tot het bestand npdeploytk.dll moeten voorkomen. "
Welke? die in:
C:\Program Files\Java\jre6\bin\new_plugin\npdeploytk.dll of
C:\Program Files\Java\jre6\bin\npdeploytk.dll of
C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll?
Welke? die in:
C:\Program Files\Java\jre6\bin\new_plugin\npdeploytk.dll of
C:\Program Files\Java\jre6\bin\npdeploytk.dll of
C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll?
@Anoniem, dan deïnstalleer je het toch.. installeer je het pas als je er een prompt voor krijgt..
open office gebruikt java, verder kan ik zo uit mijn hoofd eigenlijk niets bedenken
Limewire, Frostwire, spellen zoals Runescape, Openoffice, Virtualbox etc etc
java kan handig zijn om in een browser bepaalde websites die u bezoekt correct weer te geven.
Althans de invoeg toepassing van java die zorgt ervoor.
Java zelf dat is een programeertaal om websites te bouwen,zo heb je ook perl, en andre programeertalen daarvoor.
Dus je volstaat als je geen websites zelf bouwt met de runtime bibliotheken.
Althans de invoeg toepassing van java die zorgt ervoor.
Java zelf dat is een programeertaal om websites te bouwen,zo heb je ook perl, en andre programeertalen daarvoor.
Dus je volstaat als je geen websites zelf bouwt met de runtime bibliotheken.
java kan handig zijn om in een browser bepaalde websites die u bezoekt correct weer te geven.
Althans de invoeg toepassing van java die zorgt ervoor.
Java zelf dat is een programeertaal om websites te bouwen,zo heb je ook perl, en andre programeertalen daarvoor.
Dus je volstaat als je geen websites zelf bouwt met de runtime bibliotheken.
Althans de invoeg toepassing van java die zorgt ervoor.
Java zelf dat is een programeertaal om websites te bouwen,zo heb je ook perl, en andre programeertalen daarvoor.
Dus je volstaat als je geen websites zelf bouwt met de runtime bibliotheken.
11-04-2010, 20:51 door
ej__
IE/firefox/Opera/Chrome etc om een aantal websites weer te geven. :)
Verder is een groot deel van complexere zakelijke software in java geschreven.
EJ
Verder is een groot deel van complexere zakelijke software in java geschreven.
EJ
Zou het helpen als je noscript gebruikt onder firefox. Hiermee kan je java van website's blokeren
11-04-2010, 21:22 door
Bitwiper
Door Anoniem: Ik vraag me al langer af of Java wel echt nodig is op mijn Windows-machine. Kan iemand deze leek daarom aub vertellen welke belangrijke main stream programma's het nodig hebben? Alvast hartelijk dank.
Zelf heb ik Java ondersteuning zowel in Firefox als in MSIE uit staan. Er zijn maar heel weinig "gewone" websites die Java nodig hebben, en als ze dat hebben wordt dat vaak duidelijk vermeld.Wel heb ik verschillende applicaties op m'n PC die Java nodig hebben, maar die hebben vooral met security, testen en ontwikkelen van software te maken. Ik ken eigenlijk geen mainstream apps die Java nodig hebben (van Open Office weet ik het niet zeker). N.b. met applicaties loop je bij lange na niet het risico dat je bij een Java-enabled webbrowser loopt.
Er staat vermeld: "Firefox-gebruikers toegang tot het bestand npdeploytk.dll moeten voorkomen."
Ik heb gekeken in FF 3.6.3. bij Extra/opties/inhoud/javascript inschakelen/geavanceerd.
Staat nergens een optie op npdeploytk.dll te blokkeren.
Hoe kan ik dit instellen ?
Ik heb gekeken in FF 3.6.3. bij Extra/opties/inhoud/javascript inschakelen/geavanceerd.
Staat nergens een optie op npdeploytk.dll te blokkeren.
Hoe kan ik dit instellen ?
11-04-2010, 21:58 door
[Account Verwijderd]
[Verwijderd]
11-04-2010, 22:35 door
Spiff has left the building
OpenOffice is afhankelijk van Java voor sommige functionaliteit.
Maar kun je die functionaliteit missen, dan heb je Java niet nodig bij het gebruik van OpenOffice.
Zie:
http://download.openoffice.org/common/java.html
http://wiki.services.openoffice.org/wiki/Java_and_OpenOffice.org
http://en.wikipedia.org/wiki/OpenOffice.org#Use_of_Java
Maar kun je die functionaliteit missen, dan heb je Java niet nodig bij het gebruik van OpenOffice.
Zie:
http://download.openoffice.org/common/java.html
http://wiki.services.openoffice.org/wiki/Java_and_OpenOffice.org
http://en.wikipedia.org/wiki/OpenOffice.org#Use_of_Java
Op mijn pc (Windows 7) heb ik 3 keer het bestand npdeploytk.dll gevonden
Program files\java\jre6\bin\new_plugin
Program files\java\jre6\bin
Program files\Mozilla Firefox\plugins
Bij de eigenschappen van dit bestand op tablad security zie ik dat ik daar
toestemming kan geven of weigeren.
Er staan 3 namen
SYSTEM
Administrators
Users
Moet ik bij alle 3 alles zo instellen op DENY dat het bestand geen toegang krijgt ?
Ik heb zojuist gekeken op de site http://seclists.org/fulldisclosure/2010/Apr/119
Daar staat:
Mozilla Firefox and other NPAPI based browser users can be protected using
File System ACLs to prevent access to npdeploytk.dll. These ACLs can also be
managed via GPO.
Via Google kwam ik erachter dat GPO groeps beleid is.
Ik las op internet dat je dit kunt open met RSOP.msc, en gpedit.msc
Ik heb GPO en RSOP allebei even bekeken of ik daar dat npdeploytk.dll bestand geen toestemming
kan geven aan Firefox.
Ik zie niet zo snel hoe je dat daar kan invullen/veranderen.
Van Google werd ik ook niks wijzer. Zoeken op "Firefox geen toestemming geven aan bestand" en varianten hiervan, leverde niks op, (behalve sites weigeren)
In het artikel staat: "Firefox-gebruikers toegang tot het bestand npdeploytk.dll moeten voorkomen.
Niet verwijderen, maar blokkeren dus ?
Als iemand een linkje in de aanbieding heeft waar ik kan leren hoe je in GPO een bestand kan instellen op DENY
zeg ik daar geen nee tegen.
Heeft het voordelen dat ik ik GPO een weigering instel, tegenover rechts klikken op een bestand, en dan daar vinkjes zet
bij tabblad Security ?
Dank u.
PS Een korte uitleg is uiteraard ook welkom
Program files\java\jre6\bin\new_plugin
Program files\java\jre6\bin
Program files\Mozilla Firefox\plugins
Bij de eigenschappen van dit bestand op tablad security zie ik dat ik daar
toestemming kan geven of weigeren.
Er staan 3 namen
SYSTEM
Administrators
Users
Moet ik bij alle 3 alles zo instellen op DENY dat het bestand geen toegang krijgt ?
Ik heb zojuist gekeken op de site http://seclists.org/fulldisclosure/2010/Apr/119
Daar staat:
Mozilla Firefox and other NPAPI based browser users can be protected using
File System ACLs to prevent access to npdeploytk.dll. These ACLs can also be
managed via GPO.
Via Google kwam ik erachter dat GPO groeps beleid is.
Ik las op internet dat je dit kunt open met RSOP.msc, en gpedit.msc
Ik heb GPO en RSOP allebei even bekeken of ik daar dat npdeploytk.dll bestand geen toestemming
kan geven aan Firefox.
Ik zie niet zo snel hoe je dat daar kan invullen/veranderen.
Van Google werd ik ook niks wijzer. Zoeken op "Firefox geen toestemming geven aan bestand" en varianten hiervan, leverde niks op, (behalve sites weigeren)
In het artikel staat: "Firefox-gebruikers toegang tot het bestand npdeploytk.dll moeten voorkomen.
Niet verwijderen, maar blokkeren dus ?
Als iemand een linkje in de aanbieding heeft waar ik kan leren hoe je in GPO een bestand kan instellen op DENY
zeg ik daar geen nee tegen.
Heeft het voordelen dat ik ik GPO een weigering instel, tegenover rechts klikken op een bestand, en dan daar vinkjes zet
bij tabblad Security ?
Dank u.
PS Een korte uitleg is uiteraard ook welkom
Ben ik nu genaaid omdat ik die proof of concept draaide? Ik dacht ik krijg een filmpje te zien o.i.d.
Tievus waarom zet security.nl zo'n link in hun artikel
Tievus waarom zet security.nl zo'n link in hun artikel
Ik vraag mij dus ook af of je die Java rommel eigenlijk nodig hebt op een 'gewone' huis tuin en keuken PC.
Axban kende ik al van vroeger, maar heb het er eens terug op deze PC gezet en merkte wel enkele dingen die het nakijken ff waard zijn.
In dat lijstje dat Axban weergaf kwamen er enkele van Adobe Flash Player, Yahoo, Facebook en nog enkele andere voor;
Merkwaardig voor die van Yahoo en Facebook want dat staat niet op deze PC op??
Axban kende ik al van vroeger, maar heb het er eens terug op deze PC gezet en merkte wel enkele dingen die het nakijken ff waard zijn.
In dat lijstje dat Axban weergaf kwamen er enkele van Adobe Flash Player, Yahoo, Facebook en nog enkele andere voor;
Merkwaardig voor die van Yahoo en Facebook want dat staat niet op deze PC op??
"Java zelf dat is een programeertaal om websites te bouwen,zo heb je ook perl, en andre programeertalen daarvoor."
Fout! Java is een programmeer taal die van oorsprong is uitgevonden voor Java Applets.
Vandaag de dag wordt het ook gebruikt om applicaties mee te maken en Java Server Pages.
Websites maak je met HTML, en die HTML wordt gegenereerd met een server-side script als JSP, Perl, PHP, ASP(.NET).
Overigens leveren de meeste applicaties een eigen Java versie mee (welke zwaar verouderd is...)
Sommige applicaties als OpenOffice.org en Limewire vereisen echt dat Java is geïnstalleerd.
En was SUN niet overgenomen door Oracle?
Fout! Java is een programmeer taal die van oorsprong is uitgevonden voor Java Applets.
Vandaag de dag wordt het ook gebruikt om applicaties mee te maken en Java Server Pages.
Websites maak je met HTML, en die HTML wordt gegenereerd met een server-side script als JSP, Perl, PHP, ASP(.NET).
Overigens leveren de meeste applicaties een eigen Java versie mee (welke zwaar verouderd is...)
Sommige applicaties als OpenOffice.org en Limewire vereisen echt dat Java is geïnstalleerd.
En was SUN niet overgenomen door Oracle?
Tavis was de eerste die dit bekend maakte, reversemode was er blijkbaar ook mee bezig maar was nog niet openbaar gegaan. Zie Twitter: reversemode @taviso you fucked my 0day :( . Nice find. There is much more behind the scenes though. Everyone should disable JAVA right now.
Ik heb een e-mail adres bij Hushmail.com en daar is Java standaard uitgeschakeld en websites worden dan vaak niet volledig goed weer gegeven maar is wel veiliger. Gewoonlijk heb ik het wel aan staan Java maar mijn beveiligingssoftware heeft een ActiveX schild die dus ook checked voor malware etc.. Maar helemaal uitzetten is waarschijnlijk wel het veiligst totdat Sun een patch uitbrengt.
12-04-2010, 12:26 door
Spiff has left the building
Door Anoniem, 12-4-2010, 10.45 uur: [...]
Sommige applicaties als OpenOffice.org en Limewire vereisen echt dat Java is geinstalleerd.
Nee, bij de installatie van OpenOffice is Java is niet vereist. Sommige applicaties als OpenOffice.org en Limewire vereisen echt dat Java is geinstalleerd.
Lees even wat ik gisteren al schreef, en vooral, zie die informatie van OpenOffice.org:
Door Spiff, 11-4-2010, 22.35 uur:
OpenOffice is afhankelijk van Java voor sommige functionaliteit.
Maar kun je die functionaliteit missen, dan heb je Java niet nodig bij het gebruik van OpenOffice.
Zie:
http://download.openoffice.org/common/java.html
http://wiki.services.openoffice.org/wiki/Java_and_OpenOffice.org
http://en.wikipedia.org/wiki/OpenOffice.org#Use_of_Java
OpenOffice.org zegt:OpenOffice is afhankelijk van Java voor sommige functionaliteit.
Maar kun je die functionaliteit missen, dan heb je Java niet nodig bij het gebruik van OpenOffice.
Zie:
http://download.openoffice.org/common/java.html
http://wiki.services.openoffice.org/wiki/Java_and_OpenOffice.org
http://en.wikipedia.org/wiki/OpenOffice.org#Use_of_Java
"Java is mainly required to use the new embedded Java technology based HSQLDB database engine, or to make use of accessibility and assistive technologies. If you do not require database tables or accessibility integration or some wizards, then you do not need to download and install Java. Base (the database component) for example completely relies on Java technologies to run, but other programs (like Writer, Calc, and Impress) only need Java for special functionality.
If you choose not to download Java you can easily install Java afterwards to get the missing functionality to work."
Gewoon Java deinstalleren, zeker op een thuisomgeving. Ik gebruik al jaren geen java. Het is een techniek, welke vooral door luie programmeurs wordt gebruikt. Wanneer gaat iedereen nu eens native code gebruiken...
12-04-2010, 16:32 door
SirDice
Door Anoniem: Hoezo alle Windows versies? Sinds Windows XP SP 1a staat Java niet meer standaard op Windows.
Begrijpend lezen blijft moeilijk:De kwetsbaarheid is aanwezig in alle versies sinds Java SE 6 update 10 voor Microsoft Windows.
Door (andere?) Anoniem:Er staat vermeld: "Firefox-gebruikers toegang tot het bestand npdeploytk.dll moeten voorkomen."
Ik heb gekeken in FF 3.6.3. bij Extra/opties/inhoud/javascript inschakelen/geavanceerd.
Staat nergens een optie op npdeploytk.dll te blokkeren.
Ik heb gekeken in FF 3.6.3. bij Extra/opties/inhoud/javascript inschakelen/geavanceerd.
Staat nergens een optie op npdeploytk.dll te blokkeren.
Java en javascript hebben, behalve de naam, niets met elkaar te maken.
Java heb je nodig om spellen/online games van Spelpunt.nl te spelen.
Ik ben daar veel bezig dus wat te doen zonder Java?
Ik ben daar veel bezig dus wat te doen zonder Java?
Ik vond uit 2007 het volgende verhaal van SUN:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103072-1
Daarin staat o.a.:
Workaround
To reduce the likelihood of executing untrusted applications which may allow this issue to be exploited, Java Web Start applications may be disabled temporarily (until the updates or patches have been installed) as follows:
For Mozilla:
1. Select "Preferences" under the browser's "Edit" menu
2. In the "Preferences" window, select "Helper Applications" located under the "Navigator" category
3. Under "Files types", scroll down and locate "application/x-java-jnlp-file"
4. Select "application/x-java-jnlp-file" and click the "Remove" button
Ik weet te weinig van deze materie, maar er zwerven beslist hier enkele
Java-experts rond, die aan kunnen geven, of dit (tijdelijk) zoden aan de
dijk zet. Het komt mij namelijk voor als een zeer ernstig lek, dat zeker
heel snel zal gaan worden misbruikt.
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103072-1
Daarin staat o.a.:
Workaround
To reduce the likelihood of executing untrusted applications which may allow this issue to be exploited, Java Web Start applications may be disabled temporarily (until the updates or patches have been installed) as follows:
For Mozilla:
1. Select "Preferences" under the browser's "Edit" menu
2. In the "Preferences" window, select "Helper Applications" located under the "Navigator" category
3. Under "Files types", scroll down and locate "application/x-java-jnlp-file"
4. Select "application/x-java-jnlp-file" and click the "Remove" button
Ik weet te weinig van deze materie, maar er zwerven beslist hier enkele
Java-experts rond, die aan kunnen geven, of dit (tijdelijk) zoden aan de
dijk zet. Het komt mij namelijk voor als een zeer ernstig lek, dat zeker
heel snel zal gaan worden misbruikt.
13-04-2010, 01:44 door
jasa32
Ik vond uit 2007 het volgende verhaal van SUN:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103072-1
Daarin staat o.a.:
Workaround
To reduce the likelihood of executing untrusted applications which may allow this issue to be
exploited, Java Web Start applications may be disabled temporarily (until the updates or patches have
been installed) as follows:
For Mozilla:
1. Select "Preferences" under the browser's "Edit" menu
2. In the "Preferences" window, select "Helper Applications" located under the "Navigator" category
3. Under "Files types", scroll down and locate "application/x-java-jnlp-file"
4. Select "application/x-java-jnlp-file" and click the "Remove" button
Ik weet te weinig van deze materie, maar er zwerven beslist hier enkele
Java-experts rond, die aan kunnen geven, of dit (tijdelijk) zoden aan de
dijk zet. Het lijkt mij een ernstig lek.
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103072-1
Daarin staat o.a.:
Workaround
To reduce the likelihood of executing untrusted applications which may allow this issue to be
exploited, Java Web Start applications may be disabled temporarily (until the updates or patches have
been installed) as follows:
For Mozilla:
1. Select "Preferences" under the browser's "Edit" menu
2. In the "Preferences" window, select "Helper Applications" located under the "Navigator" category
3. Under "Files types", scroll down and locate "application/x-java-jnlp-file"
4. Select "application/x-java-jnlp-file" and click the "Remove" button
Ik weet te weinig van deze materie, maar er zwerven beslist hier enkele
Java-experts rond, die aan kunnen geven, of dit (tijdelijk) zoden aan de
dijk zet. Het lijkt mij een ernstig lek.
With Java Web Start, you launch applications simply by clicking on a Web page link. If the application is not present on your computer, Java Web Start automatically downloads all necessary files. It then caches the files on your computer so the application is always ready to be relaunched anytime you want—either from an icon on your desktop or from the browser link. And no matter which method you use to launch the application, the most current version of the application is always presented to you.
Als je zo'n link in firefox invoert krijg je altijd de optie Openen/Opslaan. Dan komt die applicatie in je download manager te staan en kan je hem pas uitvoeren.
Er kan dus alleen wat gebeuren als jij een Java Web Start applicatie echt download. En dat moet je dus niet van sites doen die je niet vertrouwd.
Als je zo'n link in firefox invoert krijg je altijd de optie Openen/Opslaan. Dan komt die applicatie in je download manager te staan en kan je hem pas uitvoeren.
Er kan dus alleen wat gebeuren als jij een Java Web Start applicatie echt download. En dat moet je dus niet van sites doen die je niet vertrouwd.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
