image

Waarschuwing: Ernstig Java-lek actief misbruikt

woensdag 14 april 2010, 23:13 door Redactie, 17 reacties

Een zeer ernstig beveiligingslek in Java dat hackers actief misbruiken, zorgt ervoor dat meer dan een miljard internetgebruikers risico lopen om met malware besmet te raken. De kwetsbaarheid werd op vrijdag 9 april op de Full-Disclosure mailinglist gemeld. Het probleem zit hem in het Java Web Start framework, een technologie van Sun Microsystems die het ontwikkelen van Java applicaties vereenvoudigt. Doordat het framework opgegeven parameters niet goed valideert, kan een aanvaller kwaadaardige opdrachten uitvoeren.

De kwetsbaarheid is aanwezig in alle versies sinds Java SE 6 update 10 voor Microsoft Windows. Het uitschakelen van de Java plugin in de browser is volgens onderzoeker Tavis Ormandy niet voldoende om misbruik te voorkomen, aangezien Java Web Start los wordt geïnstalleerd.

Lyrics
De technologie die Sun ontwikkelde krijgt de nodige kritiek, omdat het een manier is om een programma vanaf een website te starten. "Het vereist niet veel inzicht om te bedenken dat aanvallers dit konden misbruiken", zegt Roger Thompson van het Tsjechische anti-virusbedrijf AVG. De code die het lek misbruikt is zeer eenvoudig te kopiëren.

"Het is dus niet verrassend dat we vijf dagen later code op een aanvalsserver in Rusland detecteren", aldus de virusbestrijder. De aanvalscode is vooralsnog alleen op een website met lyrics van Rihanna, Usher, Lady Gaga en Miley Cyrus ontdekt. "Vanzelfsprekend zal dit binnenkort overal te vinden zijn, dus moet Sun met een noodpatch komen", zegt Thompson. "Voor zover wij kunnen zien bevindt het zich nog niet in één van de exploitkits, maar dat is slechts een kwestie van tijd."

Patch
Sun was van tevoren door Ormandy ingelicht, maar het bedrijf vond het lek niet ernstig genoeg om de geplande patchcyclus te onderbreken. Java is een cross-platform technologie die op bijna alle computers geïnstalleerd is. Met 1,8 miljard internetgebruikers betekent dat veel systemen risico lopen. De kwetsbaarheid treft alleen Windows-gebruikers, ongeacht welke browser die gebruiken.

Als tijdelijke oplossing moeten IE-gebruikers een killbit instellen op CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Firefox-gebruikers moeten via een "File System access control list" toegang tot het bestand npdeploytk.dll voorkomen. Het uitschakelen van de plugin, zoals besproken op het forum van Mozillazine, is volgens Ormandy geen oplossing. Wie Java niet gebruikt kan de software ook in z'n geheel verwijderen, merkt de onderzoeker op.

Update 15/4 12:30
Inmiddels is er een noodpatch verschenen.

Reacties (17)
15-04-2010, 01:05 door [Account Verwijderd]
[Verwijderd]
15-04-2010, 01:27 door [Account Verwijderd]
Door Peter V: Java is bij mij al geheel verwijderd. Maar bij het doorzoeken van de computer bleek npdeploytk.dll (NPruntime Script library) nog steeds op de computer te zitten.

2 Machines met Vista Home Prem net gecontroleerd, zelfde verhaal.

Goede tip, tnx.
15-04-2010, 01:59 door Rene V
Met 1,8 miljard internetgebruikers betekent dat veel systemen risico lopen. De kwetsbaarheid treft alleen Windows-gebruikers

Klopt iets niet aan deze zin. Cross-platform technologie wat betekent dat veel systemen risico lopen (omdat er 1,8 miljard internet gebruikers zijn in totaal, met verschillende besturingsystemen waarop java draait)... maar het treft alleen Windows gebruikers?
Beetje een contradictus in terminus, niet?
15-04-2010, 07:10 door Anoniem
Door Peter V: Java is bij mij al geheel verwijderd. Maar bij het doorzoeken van de computer bleek npdeploytk.dll (NPruntime Script library) nog steeds op de computer te zitten. Deze is ook uit veiligheidsoverweging verwijderd en ik raad iedereen om voorlopig het zelfde te doen.


Is het ook mogelijk om alleen die npdeploytk.dll te verwijderen zodat Firefox niet meer Java kan starten maar andere programma's die het nodig hebben wel?
15-04-2010, 07:55 door Anoniem
Nee hoor dit lek maakt gebruik van een dll en dat is toch echt een windows only feature. Teminste ik ben op linux of mac nog geen dll`s gezien :P
Dus vandaar dat deze exploit alleen op het platform windows werkt.
Daarnaast java heeft op ieder platform speciale modules die platform afhankelijk zijn
15-04-2010, 08:49 door Anoniem
Handige KillBit tool:

http://www.nirsoft.net/utils/axhelper.html
15-04-2010, 09:14 door Anoniem
Door Peter V: Java is bij mij al geheel verwijderd. Maar bij het doorzoeken van de computer bleek npdeploytk.dll (NPruntime Script library) nog steeds op de computer te zitten. Deze is ook uit veiligheidsoverweging verwijderd en ik raad iedereen om voorlopig het zelfde te doen.


Is het stoppen niet van de Javaservices niet voldoende?
15-04-2010, 09:56 door Anoniem
Biedt NoScript onder Firefox hier bescherming tegen?
15-04-2010, 10:12 door Above
Door Anoniem: Nee hoor dit lek maakt gebruik van een dll en dat is toch echt een windows only feature. Teminste ik ben op linux of mac nog geen dll`s gezien :P
Dus vandaar dat deze exploit alleen op het platform windows werkt.
Daarnaast java heeft op ieder platform speciale modules die platform afhankelijk zijn

In Linux, plugins and DLLs are implemented as dynamic libraries.
http://www.ibm.com/developerworks/linux/library/l-dll.html
15-04-2010, 10:36 door Anoniem
Door René V: Klopt iets niet aan deze zin. Cross-platform technologie wat betekent dat veel systemen risico lopen (omdat er 1,8 miljard internet gebruikers zijn in totaal, met verschillende besturingsystemen waarop java draait)... maar het treft alleen Windows gebruikers? Beetje een contradictus in terminus, niet?
Niet helemaal. De exploit is te gebruiken op alle systemen met Java, alleen wordt die nu actief misbruikt op websites die zich richten op Windows gebruikers. Hiervoor zijn reeds diverse pakketten die makkelijk rommel maken voor je eigen botnet. Java zorgt ervoor dat het nog makkelijker is om iets zomaar op te starten. 1+1=2
15-04-2010, 11:16 door Anoniem
Er is een nieuwe patch (6u20):
http://java.sun.com/javase/downloads/index.jsp

De release notes:
http://java.sun.com/javase/6/webnotes/6u20.html
waarin je kan zien dat 'Webstart Shows Wrong Exception when the same jnlp has a signed and a none signed jar' gefixed is.
15-04-2010, 11:47 door [Account Verwijderd]
CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA.????
Is het niet CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA.???
Let ff op IE gebruikers!!
15-04-2010, 12:33 door Anoniem
Firefox-gebruikers moeten via een "File System access control list" toegang tot het bestand npdeploytk.dll voorkomen.

Uhhh hoe???
15-04-2010, 14:21 door Anoniem
Door Peter V: Java is bij mij al geheel verwijderd. Maar bij het doorzoeken van de computer bleek npdeploytk.dll (NPruntime Script library) nog steeds op de computer te zitten. Deze is ook uit veiligheidsoverweging verwijderd en ik raad iedereen om voorlopig het zelfde te doen.


Ik heb Java gewoon geupdated.
Leek me een stuk handiger...
15-04-2010, 15:07 door Spiff has left the building
Door Peter V: Java is bij mij al geheel verwijderd. Maar bij het doorzoeken van de computer bleek npdeploytk.dll (NPruntime Script library) nog steeds op de computer te zitten. Deze is ook uit veiligheidsoverweging verwijderd en ik raad iedereen om voorlopig het zelfde te doen.
Ik besloot afgelopen maandag dat ik Java JRE best kon missen voor OpenOffice en ik heb Java JRE toen verwijderd.
En ook ik vond daarna bij het checken nog het bestand npdeploytk.dll
Ik was vergeten het hier even te melden (foei).
15-04-2010, 17:21 door [Account Verwijderd]
[Verwijderd]
15-04-2010, 17:26 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.