'Slordig patchwerk Oracle oorzaak nieuw Java-lek'
Het nieuwste Java-lek dat cybercriminelen actief gebruiken om computers te infecteren en waarvoor nog geen update beschikbaar is, is veroorzaakt door de manier waarop Oracle een vorig beveiligingsprobleem probeerde op te lossen. Dat laat de Poolse beveiligingsonderzoeker Adam Gowdiak van het beveiligingsbedrijf Security Explorations aan Security.nl weten.
"De zero-day aanvalscode die in het wild is ontdekt, is weer een voorbeeld van Java beveiligingslekken die worden veroorzaakt door een onveilige implementatie van de Reflection API", merkt de onderzoeker op. De nieuwe aanval combineert volgens Gowdiak twee kwetsbaarheden.
Het eerste lek maakt het mogelijk om willekeurige 'classes' te laden. Het tweede probleem gebruikt de nieuwe Reflection API om bepaalde objecten aan te roepen. Deze code die voor het aanroepen van de objecten wordt gebruikt was al eerder onderzocht.
In augustus vorig jaar ontdekte Security Explorations een lek hierin, dat Oracle in oktober 2012 patchte. "Het blijkt dat de fix niet volledig is aangezien het nog steeds mogelijk is om deze functie te misbruiken", merkt Gowdiak op.
Paddenstoelen
De aanvalsvector die de huidige exploits gebruiken is dezelfde die Security Explorations als proof-of-concept gebruikte om het in augustus gerapporteerde beveiligingsprobleem aan Oracle te demonstreren. Ondanks de demonstratie is het probleem nog steeds aanwezig. "Dit is niet de eerste keer dat Oracle's eigen onderzoek van beveiligingsproblemen niet voldoende uitgebreid is", stelt de onderzoeker.
Gowdiak vergelijkt beveiligingslekken met paddenstoelen. "In veel gevallen zijn ze te vinden in de buurt van al eerder gevonden paddenstoelen. Het lijkt erop dat Oracle te vroeg met plukken is gestopt, of zich nog diep in het bos bevindt." De analyse van Gowdiak zal later ook op verschillende mailinglists verschijnen.
Uitschakelen
Inmiddels zwelt de roep om Java uit te schakelen of helemaal te verwijderen aan. "Java is een puinhoop. Het is niet veilig", aldus Jaime Blasco van beveiligingsbedrijf AlienVault. "Je moet het uitschakelen." Naast de Amerikaanse overheid adviseert ook de Duitse overheid om Java uit te schakelen.
In het geval Java helemaal niet meer wordt gebruikt, kunnen gebruikers de software beter helemaal verwijderen, zo stelt het Bundesamt für Sicherheit in der Informationstechnik.
Als je zelfs je eigen code niet kunt patchen, dan is er geen plaats meer voor je in het IT landschap.
Wat een puinhoop, lang leve de overnames. (Zou Sun het wel hebben kunnen doen?)
En als iedereen dat nou doet wordt het een stuk veiliger.
Precies. Dat roep ik al al een hele tijd op allerlei websites. Probleem is helaas wel dat velen nog steeds niet het verschil weten tussen Java en Javascript en dus denken dat ze het nodig hebben om websites te laten werken.
Overigens heeft Apple Java ondertussen al uitgeschakeld met behulp van het ingebouwde xProtect (wat de precieze spelling dan ook is). Java (of in ieder geval de browser-plug-in) kunnen dus niet meer gebruikt worden totdat er een update uitkomt.
Java, Flash... Wanneer worden we eindelijk eens een keer verlost van plug-ins?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
