Exploit voor recent Java-lek in hackertool
Code om een recent gepatcht beveiligingslek in Java te misbruiken is aan de populaire hackertool Metasploit toegevoegd, wat een groot probleem is. Veel Java-gebruikers lopen vaak maanden achter met het installeren van de laatste update. Via de kwetsbaarheid kan een aanvaller een kwetsbare computer overnemen.
Oracle publiceerde halverwege oktober een beveiligingsupdate voor Java, die onder andere kwetsbaarheid CVE-2012-5076 verhelpt. Een kwetsbaarheid waarvoor nu een exploit online is verschenen.
Exploit
Het bezoeken van een gehackte of kwaadaardige website is hierdoor voldoende om aanvallers willekeurige code op het systeem te laten uitvoeren. De exploit is beschikbaar voor Metasploit, een veelgebruikt framework waarmee security professionals, pentesters en systeembeheerders de veiligheid van systemen kunnen testen.
Hoewel Oracle een update heeft uitgebracht blijkt dat veel gebruikers die niet of vrij laat installeren. Uit onderzoek van beveiligingsbedrijf Rapid7 kwam naar voren dat over een langere periode bekeken 60% van de Java-installaties nooit up-to-date is.
Installatie
Na de eerste maand dat een Java-patch verschijnt wordt die door minder dan 10% van de gebruikers geïnstalleerd. Na twee maanden heeft ongeveer 20% de update uitgerold. Na drie maanden loopt het percentage op tot 30%. Het hoogste percentage van gepatchte installaties dat Rapid7 waarnam betrof 38%.
Beveiligingsonderzoeker Eric Romang maakte onderstaande video.
Nu werkt de gebruiker weer tevreden met zijn computer. Ik heb hem nog niet gehoord, dat hij Java mist.
Advies verwijder alle versies Java van de computer. Mocht u het toch nog ergens voor nodig hebben, installeer dan de nieuwste versie.
Bepaalde software installeert een eigen Java in een subdirectory van de programmamap van die software,
en gebruikt deze ipv de default Java. Als je deze verwijdert zal dat pakket meestal niet meer werken.
Op zich is de aanwezigheid van meerdere Java versies ook geen direct risico, als de browser voor de
uitvoering van Java applets maar gebruik maakt van de meest recente Java (die dan als default ingesteld is)
en deze uptodate gehouden wordt.
De oudere versies worden alleen gebruikt met het betreffende programma, en zolang dat geen functionaliteit
heeft waarbij java applets van het internet gedownload worden of op de een of andere manier embedded zijn
in documenten die van internet ontvangen worden dan is er weinig aan de hand verder.
http://secunia.com/vulnerability_scanning/online/
Er waren zo'n 5 Java versies aanwezig (een update verwijderd niet de oude versie).
Vanaf Java versie JRE 6 update 10 hoort bij update de oude versie automatisch verwijderd te worden. Alleen Java versies ouder dan JRE 6 update 10 werden en worden niet automatisch verwijderd.
Althans, dat is zoals het zou moeten werken. Ik lees echter nog af en toe dat ook recente versies soms niet verwijderd worden bij update, het automatisch verwijderen van recente versies lijkt niet altijd goed te gaan. Ik ken daarover echter alleen meldingen door anderen en ik ken de omstandigheden daarbij niet, ik heb er zelf geen recente ervaring mee.
http://blog.trailofbits.com/2012/10/29/ending-the-love-affair-with-exploitshield/
Ik als leek doe wel me best om Java te Updaten maar zit toch met een paar vraagjes.
In het Configuratiescherm bij programma's staat dat ik "Java 7 Update 9" heb...daaronder staat "Java 7 Update 9 64-bit"...is die andere de 32-bit versie?
Heb ooit ergens gelezen dat je op een 64-bit systeem ook een 32-bit versie hoort te hebben(Mozilla=32-bit).
De volgende vraag is....Volgens Secunia (PSI) 2.0 ben ik Up To Date met Java maar daar heten de versies plotseling "Java JRE 1.7x/7x" en "Java JRE 1.7x/7x 64-bit". Waarom is dat?Dit is toch wel iets verwarrend,zeker voor gebruikers die zich daar niet in willen verdiepen...om wat voor reden dan ook.
MvG Quikfit :-)
Verder als software gebruik maakt van Java, dan gooi ik dat ook gelijk weg!
Griezelig dat zulke oude versies nog op dat systeem stonden, maar goed om te zien dat het in ieder geval geen recente versies waren die bij het updaten niet automatisch waren verwijderd.
Met andere programma's ben ik streng, voor de programma's die Java nodig hebben is er vrijwel altijd wel een alternatief beschikbaar dat géén Java nodig heeft. Veel prettiger dan steeds Java moeten blijven beheren en bij elke update ervan de browser-plugins weer te moeten uitschakelen.
Bij Linux wordt er iedere dag wel ergens op de wereld gekeken,wat er voor updates geschreven kunnen worden.
Met Oracle lukt dat niet,want dat blijft alleen binnen de muren van dat bedrijf.
Bij Linux is alles open source dus de hele wereld mag software verdanderen en bijwerken,en dan dat programma weer als gepatcht vrijgeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
