image

'Oracle blundert met Java noodpatch'

dinsdag 15 januari 2013, 11:22 door Redactie, 6 reacties

De noodpatch die Oracle voor een zeer ernstig beveiligingslek in Java uitbracht blijkt niet alle problemen op te lossen, waardoor miljoenen gebruikers nog steeds risico lopen. Dat beweert het Amerikaanse beveiligingsbedrijf Immunity dat de noodpatch van Oracle onderzocht. De exploit die aanvallers gebruikten om Java 7 Update 10 en oudere Java 7-versies aan te vallen, gebruikt twee lekken.

Uit onderzoek blijkt dat Java 7 Update 11 slechts één van de twee kwetsbaarheden oplost, waardoor Java nog steeds kwetsbaar is voor één van de lekken die de exploit gebruikt en actief door aanvallers wordt ingezet. Op bijna 70% van alle computers is Java geïnstalleerd.

Exploit
Immunity stelt dat de noodpatch wel de exploit stopt, maar dat een aanvaller met voldoende kennis van Java en met een andere zero-day alsnog eenvoudig de computers van Java- gebruikers kan infecteren. Daarvoor moet dan wel een gesigneerd Java applet worden gebruikt. De noodpatch wijzigt namelijk ook de standaard beveiligingsinstellingen van Java.

Door deze nieuwe instelling krijgt een gebruiker altijd een waarschuwing te zien voordat een ongesigneerd Java applet of Java Web Start applicatie wordt uitgevoerd.

Code
"Java blijft een continu doelwit voor aanvallers, en niemand moet verrast opkijken als een aanvaller het gepatchte lek met een ander lek vervangt en weer machines infecteert", zegt Nico Waisman.

"Daarom is het belangrijk voor Oracle en hun gebruikers dat ze extra aandacht aan elk lek geven, omdat bij de keten van exploits die vandaag de dag nodig is, elk lek belangrijk is."

Reacties (6)
15-01-2013, 11:45 door Anoniem
'Oracle blundert met Java' had een betere titel kunnen zijn.
15-01-2013, 12:11 door [Account Verwijderd]
[Verwijderd]
15-01-2013, 13:02 door Anoniem
Het is een noodpatch, zodat de situatie zo snel mogelijk zou verbeteren. Misschien was het alternatief voor het dichten van maar één lek om te wachten tot ze beide lekken hebben gedicht. Om dit een blunder te noemen lijkt me dus wat overdreven.

In de blogpost van Immunity staat "But an attacker with enough knowledge of the Java code base and the help of another zero day bug to replace the one fixed can easily continue compromising users." Door het woordt 'easily' te gebruiken lijkt het alsof dit eenvoudig is, maar de voorwaarden waaraan voldaan moet worden ('another zero day bug') maken het juist heel moeilijk. Dit is ongeveer hetzelfde als zeggen: 'als je alle moeilijke dingen gedaan hebt, hoef je alleen nog wat makkelijke dingen te doen', wat uiteraard waar is, maar weinig zegt.
15-01-2013, 16:38 door Anoniem
Door Anoniem: maar de voorwaarden waaraan voldaan moet worden ('another zero day bug') maken het juist heel moeilijk.
Dit is bij Java niet echt het geval..
15-01-2013, 17:49 door Anoniem
Door Anoniem:
Door Anoniem: maar de voorwaarden waaraan voldaan moet worden ('another zero day bug') maken het juist heel moeilijk.
Dit is bij Java niet echt het geval..
Ondanks dat Java niet bekend staat als erg veilig zou ik het vinden van een zero-day toch echt niet willen omschrijven met woorden als 'easily'. Ja, het is kwalijk dat het lek nog open is, en ja, de kans dat het misbruikt kan worden is vrij groot, maar het is niet zo makkelijk als hier gesuggereerd wordt.
19-01-2013, 06:59 door Anoniem
Wat is er moeilijk aan 6! regels essentiele code, dan? Zucht. Doe je onderzoek voordat je dit soort dingen schrijft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.