image

Mac-gebruikers aangevallen via ongepatchte Java-versie

woensdag 11 september 2013, 10:24 door Redactie, 2 reacties
Laatst bijgewerkt: 11-09-2013, 13:27

Onderzoekers hebben een nieuwe malware-variant ontdekt die Mac-gebruikers infecteert die niet over de meest recente Java-versie beschikken. De malware werd in het verleden vooral tegen Tibetaanse activisten en belangenbehartigers ingezet. De nu ontdekte variant verspreidt zich via twee lekken in Java.

De twee kwetsbaarheden werden op 18 juni van dit jaar door Apple op Mac OS X Snow Leopard gepatcht. Voor deze versie verzorgt Apple zelf de Java-updates. Vanaf Mac OS X Lion besloot Apple Java niet meer standaard met het besturingssysteem te bundelen.

Backdoor

Zodra een Mac-gebruiker met een ongepatchte Java-versie een kwaadaardige of gehackte website bezoekt wordt er zonder enige interactie via een Java-applet, dat misbruik van de twee lekken (CVE-2013-2465 en CVE-2013-2471) maakt, een backdoor geïnstalleerd. Via de backdoor heeft een aanvaller toegang tot alle bestanden op de computer en kan verdere commando's uitvoeren.

De backdoor maakt volgens beveiligingsbedrijf Intego verbinding met een Command & Control-server in China. Onlangs publiceerde Apple nog een update voor de in Mac OS X ingebouwde virusscanner, om zo kwetsbare versies van de Java browserplug-in te blokkeren.

Reacties (2)
11-09-2013, 13:11 door Anoniem
Ten overvloede een extra quote van aangehaalde bron : "This is considered to be a low-risk threat at this time as it?s not known to be affecting users."

Het betreft overigens een kwetsbaarheid in de Java "Webstart.app".

Java up to date houden is het best, daarnaast kan je het per account uitschakelen of in je browser uitschakelen.
Vertrouw je dan nog niet gebruik dan een aparte account voor Java of bijvoorbeeld een aparte browser of besmetting te minimaliseren.

Mac tips & overwegingen : uiteenzetting van andere mogelijkheden (al dan niet voor de creatievelingen)

- Java instellingen per User Account instellen/doornemen en alleen ingeschakeld laten voor het account waaronder je specifiek Java gebruikt.

Overweeg dus Java alleen actief te gebruiken op een speciaal daarvoor ingesteld account. Daar ga je niet het hele web mee bezoeken maar alleen die ene of paar specifieke Java-websites (blijf opletten). Het maakt de kans op besmetting namelijk lager, los nog van het feit dat oa. in diverse Safari versie's je Java functionaliteit per site kan inschakelen.

- Java disabelen in je browsers, zeker als je geen up to date browser gebruikt (wat in principe niet hoeft onder OSX 10.6 Snow Leopard).


Of Java verwijderen danwel uitschakelen (misschien kàn je niet meer updaten)

- Het JDK uit
/System/Library/Java/JavaVirtualMachines/1.6.0.jdk
verwijderen of zippen (dmg-tje maken kan ook).
Zet bijv. nog een teken voor de titel om het pad wat onherkenbaarder te maken voor scripts die zoeken naar een gezipte JDK, je weet het niet. En verwijder het niet gezipte JDK natuurlijk).

- Te proberen; wel Java maar geen Java-web interesse.
Het gaat namelijk om een kwetsbaarheid rondom het lanceren van je Webstart.app die te vinden is in
/System/Library/CoreServices/Java\ Web\ Start.app
Ook dat file kan je natuurlijk zippen of verwijderen. Ik denk (!) dat Java in zijn algemeenheid wel blijft werken maar alleen die Webstart files niet meer wil openen (de Java webfunctionaliteit dus die je niet wil) waardoor dit soort misbruik niet werkt, mocht je Java weer per ongeluk hebben aanstaan in je browser. (! Dit is een veronderstelling, feedback welkom.)

Bedenk dat in geval van gezipte Java files je Mac met een update een volledig nieuwe Java versie aanbiedt, wanneer je die aanneemt is alles hersteld en werkt ja Java ook weer (als je dat wil tenminste, anders niet downloaden). Vergeet dat in dat geval niet de oude JDK en overige gezipte System files te verwijderen (al kan het geen kwaad als je het vergeet).
En met het unzippen van je gemaakte zips maak je bovenstaande handelingen weer ongedaan, let er daarbij wel op dat je de files in de juiste map terug zet (uitgepakte zips staan niet automatisch in dezelfde map als de zip).

-> Nog Lolliger, … creatiever,.. eenvoudiger -> waarvan ik denk dat het werkt
Maak een plain tekst bestandje aan met TextEdit en geef het bijvoorbeeld de titel 'test.jnlp'. Het wordt dat opgeslagen als 'test.jnlp.txt. Verwijder daarna de extensie .txt , je houdt dan (na de waarschuwing extensie verandering, altijd aanzetten in je Finder) een nieuwe Webstart.app extensie over, namelijk .jnlp.

Klik op info van het file (cmd-toets i) en verander dan onder "Open With", waar als je zult zien het Webstart programma staat vermeld, het programma in bijvoorbeeld TextEdit. Kies je "Change all" dan onthoudt je Mac voor Alle .jnlp files dat het deze (Webstart files) moet openen met TextEdit.
Dan krijg je in het voorkomende geval de code van het file te lezen in TextEdit, sluiten,…
Dit specifieke jnlp-file wel functioneel nodig? Kies dan voor dit file onder info het Webstart programma zonder change all te kiezen!

Je hebt nu je Mac bewust en functioneel een beetje in de war gebracht met het voordeel dat een drive by download of een site met een jnlp file trigger danwel Webstart request niet werkt. (ook hier feedback welkom!).
Wil je dit niet meer? Associeer dan weer een file met jnlp extensie met Webstart programma uit de coreservices map.
Je kan het proberen/ overwegen, en bij twijfel niet doen want het is op eigen risico!

Boven dit alles heb je ook nog de geavanceerde opties onder je Java voorkeur instellingen, die sla ik hier even over.
12-09-2013, 18:18 door Anoniem
Meer hierover in andere woorden

www.thesafemac.com/another-tibet-variant-appears/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.