Nieuw Java-lek actief misbruikt door hackers
Er is een nieuw beveiligingslek in Java 7 ontdekt dat hackers actief misbruiken om computers over te nemen. Dat meldt het securityblog 'Malware Don't Need Coffee'. Het blog wordt bijgehouden door 'Kafeine', die naar eigen zeggen twijfelde om de kwetsbaarheid te rapporteren. De website waarop de exploit draait die het lek misbruikt, zou dagelijks honderdduizenden hits krijgen.
"Dit kan een gekkenhuis worden", zo laat de blogger weten. Hij besloot dan ook om voor het nieuwe lek te waarschuwen, hoewel details nog ontbreken, behalve dat het om Java 7 Update 10 gaat. Of ook andere Java-versies kwetsbaar zijn, is op dit moment nog onbekend. "Ik denk dat het beter is om hier ruchtbaarheid aan te geven. Zal meer details publiceren als de situatie minder ernstig is." Java 7 Update 10 verscheen op 19 december.
Vooralsnog krijgen Java-gebruikers het advies om Java in de browser uit te schakelen. Security.nl legt in dit stappenplan uit hoe je Java kunt uitschakelen.
Update 15:15
Beveiligingsbedrijf AlienVault Labs heeft de zero-day kwetsbaarheid bevestigd. Volgens de beveiliger wordt de nieuwe exploit, die lijkt op een eerdere exploit voor een ander Java-lek (CVE-2012-4681), door zowel de Blackhole als Nuclear Pack exploit-kits gebruikt. Java-lek CVE-2012-4681 was aanwezig in Java 7 Update 6.
Blackhole is de populairste exploit-kit van het moment en zorgt ervoor dat criminelen eenvoudig internetgebruikers kunnen infecteren door op gehackte of kwaadaardige websites iframes of JavaScript te plaatsen die naar de exploit-kit wijzen.
Een kwetsbare gebruiker wordt vervolgens automatisch geïnfecteerd. Doordat populaire exploit-kits over de nieuwe Java-exploit beschikken is grootschalig misbruik een serieus risico.
Ook AlienVault Labs adviseert om Java uit te schakelen en vraagt zich af hoe lang het zal duren voordat Oracle met een update komt. Java zou op zo'n 68% van alle computers geïnstalleerd zijn.
Wat een leuk bericht is dit weer als je bedenkt dat de zakelijke bankapplicaties zoals die van ING en de Deutsche Bank alleen maar werken met Java. Vandaag net weer zo'n super applicatie geïnstalleerd die Java nodig heeft op de desktop.
Een enkele keer moet ik even weer Java erop zetten, maar die gaat daarna gelijk er weer af.
Dit is de enige manier om nog enigszins veilig te kunnen interneten.
Ik heb dus niet zo veel java nodig als @WesleySmalls, maar ik denk dat dit voor heel veel gebruikers geldt.
Helaas is het ook zó omarmd door de industrie dat alternatieve oplossingen, hoe goed zo ook zijn, geen schijn van kans hebben.
Hetzelfde geldt overigens ook voor -op zich eenvoudige- applicaties die persé het logge .net framework nodig hebben. Ook zo'n ramp.
Ga over op Firefox met add-on NoScript.
Met NoScript kun je zelf bepalen welk java-script je tijdelijk of permanent activeert op een website.
Installeer dan ook gelijk AdBlock Plus en je bent ook gelijk heel veel reclame kwijt.
De sites die Java (waar het hier over gaat) gebruiken die moet je tegenwoordig echt met een nachtkaarsje zoeken...
Hoezo heeft ING Java nodig? Werkt hier prima zonder Java.
Doelde Anoniem mogelijk op een specifiek zakelijke applicatie van ING, waarvoor anders dan voor ING internetbankieren voor particulieren wél Java nodig is?
Ik zou Java graag uitschakelen, heel graag zelfs. Helaas zijn dan 90% van de sites die ik gebruik niet meer of half te gebruiken.
Hebben werkelijk 90% van de sites die je gebruikt Java nodig - Wow! Is dat dan een speciale categorie sites?
Hetzelfde geldt overigens ook voor -op zich eenvoudige- applicaties die persé het logge .net framework nodig hebben. Ook zo'n ramp.
Zeg dat wel. Minstens net zo veel security issues als Java, en ze zijn nog blijven hangen in de tijd dat je iedere versie van dat product naast elkaar op je PC hebt (zoals vroeger ook met Java), dus als er een update komt moet je altijd 2 of 3 van die logge pakketten updaten.
En dat duurt ook nog eens veel langer dan het updaten van Java.
Iedereen zou dat eens moeten proberen. Standaard verwijder ik alle Java installaties bij de pc's die hier besmet binnenkomen en Java wordt ook niet meer op nieuwe pc's geïnstalleerd. Ik hoor eigenlijk ook nooit klanten dat ze functionaliteit missen.
Waar wel wat mis mee is, is integratie in de browser.
Java is meestal nodig voor spelletjes op internet, voor het beheer van switches via een web-interface en voor sommige printers. De bank-applicatie is mij niet bekend.
Ga over op Firefox met add-on NoScript.
Met NoScript kun je zelf bepalen welk java-script je tijdelijk of permanent activeert op een website.
Installeer dan ook gelijk AdBlock Plus en je bent ook gelijk heel veel reclame kwijt.
Gebruik Opera en na 4 jaar nog steeds verliefd, zal vast wel een gelijke extensie zijn voor Opera, kijk zo even.
De sites die Java (waar het hier over gaat) gebruiken die moet je tegenwoordig echt met een nachtkaarsje zoeken...
Ik haal Java en Javascript wel vaker door elkaar, zo nu opnieuw
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
