Nieuws

Mac en Linux ook kwetsbaar voor Java zero-day

dinsdag 28 augustus 2012, 12:08 door Redactie, 9 reacties

Het nieuwe beveiligingslek in Java is niet alleen een probleem voor Windows-gebruikers, ook Mac en Linux zijn kwetsbaar. David Maynor van Errata Security onderzocht de exploit en testte die op verschillende configuraties. Zowel op Windows als op Linux en Mac werkt de exploit perfect. De enige vereiste is wel dat gebruikers JRE 1.7 draaien (Java 7 Update 6, de meest recente versie) aangezien de kwetsbaarheid niet in JRE 1.6 en oudere versies aanwezig lijkt.

Maynor gebruikte ook twee virusscanners van Symantec en McAfee, maar die stopten de aanval niet. "Dit is een perfecte exploit voor phishing of om sociale mediagebruikers mee aan te vallen." Ook stelt de onderzoeker dat de aanval, in tegenstelling tot eerdere berichten, wel op Chrome werkt.

Blokkeren
Chris Evans van het Chrome Security Team laat via Twitter weten dat Chrome al vanaf versie 11 standaard Java blokkeert en gebruikers dit per website moeten inschakelen.

"Dit is een zeer goede exploit waarvan ik verwacht dat die veel gebruikt gaat worden", merkt Maynor op. Begin dit jaar raakten zo'n 700.000 Macs via verschillende Java-lekken met de Flashback Trojan besmet. Beveiligingsbedrijf Intego adviseert Mac-gebruikers om Java uit te schakelen.

Gartner: BYOD zorgt voor revolutie op werkvloer

NS misbruikte persoonsgegevens OV-chipkaarthouders

Reacties (9)

28-08-2012, 12:26 door Anoniem

Eh dus als ik het goed lees en begrijp moet je een oudere versie java gaan gebruiken tegen deze exploit???

>>De enige vereiste is wel dat gebruikers JRE 1.7 draaien (Java 7 Update 6, de meest recente versie) aangezien de kwetsbaarheid niet in JRE 1.6 en oudere versies aanwezig lijkt.<<

Dit is mijn niet helemaal duidelijk hoor.

28-08-2012, 12:46 door Anoniem

Geen grote zorgen voor de Mac gebruiker dus,

Java wordt niet standaard meegeleverd met Lion / Mountain Lion (plm 40%), dat moet je zelf installeren (bijv om open-office te gebruiken) en dat is vast geen hoog percentage binnen deze 40 pct. (cijfers?..)
De overige 60 pct loopt deze keer geen risico, met het dit keer fijne voordeel dat ze niet up to date zijn, als ze al niet java hadden uitgezet.

Oud en goed advies weer even afgestoft ,
twijfelachtig of het het succes van flashback ook maar kan benaderen.

28-08-2012, 12:57 door Patio

Ben ik blij dat ik nog niet geactualiseerd heb:

java -version
java version "1.6.0_33"
Java(TM) SE Runtime Environment (build 1.6.0_33-b03-424-10M3720)
Java HotSpot(TM) 64-Bit Server VM (build 20.8-b03-424, mixed mode)

28-08-2012, 13:13 door Anoniem

Ik maak niet alleen gebruik van Linux(debian) , maar ik heb ook nog eens standaart 3 verschillende webbrowsers tot de beschikking , te weten ; 1 Opera , 2 iceweasel , 3 midori .

Maakt dat wat voor java uit ?

Of is daar geen verschil in , want voor internetbankieren ben je java toch al gauw nodig .

28-08-2012, 13:35 door wammus

Op http://java.sun.com/products/plugin/1.4/demos/plugin/applets/Clock/example1.html kun je nagaan of het java applet enabled of disabled staat op je systeem.

28-08-2012, 15:42 door Anoniem

Ach ja deze komt en is alleen gevaarlijk voor de nieuwe java. Gelukkig zijn er al genoeg exploits in het wild actief voor diegene die nog niet geupdate hebben ;-)

28-08-2012, 19:53 door Anoniem

Ben je ook kwetsbaar,wanneer je binnen Linux Openjdk7 gebruikt?.
Dat wil ik graag even weten,want dit hebben ze met het onderzoek geloof ik niet meegenomen.

29-08-2012, 10:30 door Anoniem

anon@13:13 welke bank zit jij dan? Of bedoel je stiekem javaScript?

Also, is dit niet een exploit voor specifiek oracle java? of heeft icedtea/openjdk/ibm java er ook last van?

30-08-2012, 17:24 door Anoniem

Opvallend dat er in de berichten, noch de commentaren wordt ingegaan op het verschil tussen java en javascript.

Zelfs indien je java volledig van de machine verwijderd, kun je sites met javascript gewoon met alle functionaliteit bekijken. Noscript gebruiken werkt alleen wanneer je in noscript onder "opties" tabblad "embeddings" een vinkje zet bij "forbid java" (bij voorkeur ook bij flash, silverlight en "other plugins").

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer