image

'Slordig patchwerk Oracle oorzaak nieuw Java-lek'

vrijdag 11 januari 2013, 16:08 door Redactie, 9 reacties

Het nieuwste Java-lek dat cybercriminelen actief gebruiken om computers te infecteren en waarvoor nog geen update beschikbaar is, is veroorzaakt door de manier waarop Oracle een vorig beveiligingsprobleem probeerde op te lossen. Dat laat de Poolse beveiligingsonderzoeker Adam Gowdiak van het beveiligingsbedrijf Security Explorations aan Security.nl weten.

"De zero-day aanvalscode die in het wild is ontdekt, is weer een voorbeeld van Java beveiligingslekken die worden veroorzaakt door een onveilige implementatie van de Reflection API", merkt de onderzoeker op. De nieuwe aanval combineert volgens Gowdiak twee kwetsbaarheden.

Het eerste lek maakt het mogelijk om willekeurige 'classes' te laden. Het tweede probleem gebruikt de nieuwe Reflection API om bepaalde objecten aan te roepen. Deze code die voor het aanroepen van de objecten wordt gebruikt was al eerder onderzocht.

In augustus vorig jaar ontdekte Security Explorations een lek hierin, dat Oracle in oktober 2012 patchte. "Het blijkt dat de fix niet volledig is aangezien het nog steeds mogelijk is om deze functie te misbruiken", merkt Gowdiak op.

Paddenstoelen
De aanvalsvector die de huidige exploits gebruiken is dezelfde die Security Explorations als proof-of-concept gebruikte om het in augustus gerapporteerde beveiligingsprobleem aan Oracle te demonstreren. Ondanks de demonstratie is het probleem nog steeds aanwezig. "Dit is niet de eerste keer dat Oracle's eigen onderzoek van beveiligingsproblemen niet voldoende uitgebreid is", stelt de onderzoeker.

Gowdiak vergelijkt beveiligingslekken met paddenstoelen. "In veel gevallen zijn ze te vinden in de buurt van al eerder gevonden paddenstoelen. Het lijkt erop dat Oracle te vroeg met plukken is gestopt, of zich nog diep in het bos bevindt." De analyse van Gowdiak zal later ook op verschillende mailinglists verschijnen.

Uitschakelen
Inmiddels zwelt de roep om Java uit te schakelen of helemaal te verwijderen aan. "Java is een puinhoop. Het is niet veilig", aldus Jaime Blasco van beveiligingsbedrijf AlienVault. "Je moet het uitschakelen." Naast de Amerikaanse overheid adviseert ook de Duitse overheid om Java uit te schakelen.

In het geval Java helemaal niet meer wordt gebruikt, kunnen gebruikers de software beter helemaal verwijderen, zo stelt het Bundesamt für Sicherheit in der Informationstechnik.

Reacties (9)
11-01-2013, 22:18 door [Account Verwijderd]
All is lost

Als je zelfs je eigen code niet kunt patchen, dan is er geen plaats meer voor je in het IT landschap.
Wat een puinhoop, lang leve de overnames. (Zou Sun het wel hebben kunnen doen?)
12-01-2013, 11:57 door [Account Verwijderd]
[Verwijderd]
12-01-2013, 11:59 door [Account Verwijderd]
[Verwijderd]
12-01-2013, 14:59 door Anoniem
Iedereen roept vaak "schakel Java uit".. maar een eenvoudige manier om dat (bij voorkeur via GPO) te doen zie ik nergens. Iemand advies?
12-01-2013, 15:25 door Anoniem
De houdbaarheids datum van java is al lang voorbij...
12-01-2013, 16:40 door Anoniem
Door Peter V: Java moet gewoon in de BAN.

En als iedereen dat nou doet wordt het een stuk veiliger.

Precies. Dat roep ik al al een hele tijd op allerlei websites. Probleem is helaas wel dat velen nog steeds niet het verschil weten tussen Java en Javascript en dus denken dat ze het nodig hebben om websites te laten werken.

Overigens heeft Apple Java ondertussen al uitgeschakeld met behulp van het ingebouwde xProtect (wat de precieze spelling dan ook is). Java (of in ieder geval de browser-plug-in) kunnen dus niet meer gebruikt worden totdat er een update uitkomt.

Java, Flash... Wanneer worden we eindelijk eens een keer verlost van plug-ins?
13-01-2013, 13:35 door [Account Verwijderd]
[Verwijderd]
13-01-2013, 13:36 door [Account Verwijderd]
[Verwijderd]
14-01-2013, 09:03 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.