Nieuws
image

Onofficiële update voor ernstig Java-lek *update*

maandag 27 augustus 2012, 12:44 door Redactie, 7 reacties

Het kan nog wel even duren voordat een zeer ernstig beveiligingslek in Java wordt gepatcht, waardoor een Duitse onderzoek besloot een onofficiële update te ontwikkelen. Beveiligingsbedrijf FireEye liet eerder weten dat er een nieuwe zero-day kwetsbaarheid is ontdekt die aanvallers actief misbruiken. De volgende patchcyclus van Oracle staat echter gepland voor 16 oktober, wat betekent dat veel systemen op internet lange tijd kwetsbaar blijven.

Aangezien Oracle zelden met een noodpatch komt, besloot de Duitse beveiligingsonderzoeker Michael 'mihi' Schierl een eigen patch te ontwikkelen. Schierl onderzocht eerder verschillende Java-lekken.

Zero-day
Beveiligingsonderzoekster Mila Parkour merkt op dat het om een onofficiële patch gaat die zeer beperkt is getest. Volgens haar is het beter om Java in de browser uit te schakelen of Chrome te gebruiken. Wie in een bedrijf werkt waar Java vereist is, kan haar een e-mail sturen. De update is alleen voor bedrijven bedoeld, thuisgebruikers krijgen het advies om de plug-in uit te schakelen.

Tevens laat Parkour weten dat een werknemer van beveiligingsbedrijf Immunity op 10 augustus via Twitter meldde dat er een Java zero-day exploit aan het beveiligingsprogramma van het bedrijf was toegevoegd. Klanten van het beveiligingsbedrijf krijgen zo inzicht in nieuwe lekken en kunnen zo hun eigen systemen beter beschermen. Het is nu de vraag of het om dezelfde Java zero-day kwetsbaarheid gaat, of dat er twee zero-days in Java aanwezig zijn.

Update 15:35
Parkour laat in een update weten dat de eerste exploit niet op Google Chrome werkte, maar aangezien de makers van Metasploit beweren dat ook Chrome-gebruikers kwetsbaar zijn, is het advies om Chrome te gebruiken ingetrokken.

Reacties (7)
27-08-2012, 14:14 door Anoniem
Gooi die javatroep er toch af!

gr.Ger.
27-08-2012, 15:33 door eXpL0iT.be
Immunity heeft de 0day op 9 augustus aangekondigd:
[quote=Evgeny Legerov]
Hi,

We are releasing working Java 0day with this update !
It has been tested on Windows 7 with IE, Opera and Firefox.
The demo will follow shortly.

Regards,
Evgeny Legerov[/quote]Bron: http://is.gd/BrM0bu
27-08-2012, 16:37 door 0101
In de tussentijd kunnen Firefoxgebruikers in about:config de instelling plugins.click_to_play op true zetten, zodat plugins niet zonder interactie kunnen worden gestart.
27-08-2012, 17:07 door Anoniem
Door Anoniem: Gooi die javatroep er toch af!

gr.Ger.
Het is ook troep! Maar dat is jammer genoeg gemakkelijker gezegd dan gedaan, want sommige websites en programma's vereisen Java. Het zijn de programmeurs van vele verschillende applicaties die van de javatroep moeten afblijven.
27-08-2012, 17:34 door Anoniem
@14:14 dan wordt mijn moeder niet blij als ik dat bij ze doe, want dan kan ze niet meer klaverjassen.
Is er eigenlijk een alternatief, zodat ze wel kan klaverjassen?

Op mijn eigen systeem er lang geleden al af gegooid.
27-08-2012, 17:38 door Anoniem
Misschien een hele domme vraag van een beginner, maar waarom heeft Firefox java nodig en chrome niet?
En is het voldoende dat ik java in mijn browser uitzet of moet ik het helemaal van de computer halen?
31-08-2012, 06:18 door Anoniem
Feit dat je gratis software produceert impliceert niet dat je maar kan aan rommelen met de belangen van hun gebruikers. Zeker grote bedrijven als Oracle weten als geen dat het internet principieel een afspiegeling is van de reële wereld. Met hun benaderingswijze van de Java problematiek schurken zij zich behoorlijk tegen zijn schaduwzijden. Nadere uitleg is mij dunkt overbodig.
Overigens: Java heb 3 weken geleden volledig gewist van mijn computer en heb tot nu geen nadelig effect ondervonden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure