image

Weer nieuwe Java-lekken ontdekt

vrijdag 18 januari 2013, 16:12 door Redactie, 12 reacties

Een Poolse beveiligingsonderzoeker heeft twee ernstige beveiligingslekken in de meest recente versie van Java ontdekt die Oracle afgelopen zondag publiceerde en waarvoor nog geen oplossing is. Die versie verscheen vanwege een zero day-lek dat nog altijd actief door aanvallers wordt gebruikt voor het aanvallen van kwetsbare computers.

Sandbox
Al gauw werd duidelijk dat Java 7 Update 11 slechts één van de twee problemen verhielp. Adam Gowdiak van Security Explorations besloot verder onderzoek naar de veiligheid van Java te verrichten, en ontdekte twee geheel nieuwe beveiligingsproblemen. Deze lekken, nummer 51 en 52 genaamd, maken het mogelijk om uit de sandboxbeveiliging te ontsnappen en het onderliggende systeem over te nemen.

Gowdiak laat op de Full-disclosure mailinglist weten dat Oracle vandaag is ingelicht. Naast informatie over de kwetsbaarheid zou het bedrijf ook een werkende proof-of-concept exploit hebben ontvangen.

Deze week werd op een cybercrime-forum voor 4.000 euro een zero-day exploit voor een onbekend lek in Java 7 Update 11 aangeboden, maar het is nog altijd onduidelijk of het hier om een echt lek gaat.

Verwijderen
Door de stroom van beveiligingslekken hebben allerlei organisaties en experts, waaronder de Amerikaanse overheid, inmiddels opgeroepen tot het geheel verwijderen van Java. De browserplug-in is op zo'n 70% van alle computers geïnstalleerd, maar is voor normaal internetgebruik nauwelijks nodig.

Naast een zeer beperkt aantal sites dat Java vereist, niet te verwarren met JavaScript, zijn er echter ook verschillende populaire spellen, zoals Minecraft, die alleen met Java werken.

Reacties (12)
18-01-2013, 16:25 door Anoniem
Vergeet Runescape niet van Jagex werkt ook met Java. Maar deze beschikt gelukkig van een client waar je geen java voor nodig hebt.
18-01-2013, 17:48 door [Account Verwijderd]
[Verwijderd]
18-01-2013, 18:01 door gogonal
Helaas draait Serviio Media Server:http://www.serviio.org/ ook op Java.

Ik gebruik dit dus niet, omdat ik geen Java op mijn systemen wil. Maar met tegenzin. Fijne media server. Veel uitgebreider dan die van de fabrikant van mijn TV.

Stop met het bouwen van applicaties die op Java draaien. Java is een dood peerd.
18-01-2013, 19:13 door Anoniem
Door komplot: Helaas draait Serviio Media Server:http://www.serviio.org/ ook op Java.

Ik gebruik dit dus niet, omdat ik geen Java op mijn systemen wil. Maar met tegenzin. Fijne media server. Veel uitgebreider dan die van de fabrikant van mijn TV.
Het is niet echt een probleem om programma's te draaien die in Java geschreven zijn en die je locaal installeert.
Wat je van nu af gewoon niet meer moet doen is Java als plugin in je webbrowser gebruiken.
Dat kun je in Java 7 Update 11 eenvoudig uitschakelen (vinkje linksboven in het tabblad security bij de Java instellingen in je control panel).
Locaal software installeren en dan runnen is geen punt.
18-01-2013, 23:31 door Eghie
Zie ik het verkeerd hier of kijken we als reageerders teveel naar het volledige JAVA platform terwijl we dit eigenlijk moeten isoleren tot de JAVA browser plugin? En daarom niet meteen het hele JAVA platform moeten afschrijven?
19-01-2013, 06:45 door Anoniem
Ja dat zie je erg verkeerd. Het gaat niet alleen om browser plugins maar alle java die draait op een openbaar benaderbaar netwerk. Het java geval is dus heel wat ernstiger dan soms wordt beweerd en gaat tot de kern van wat java nou eerst zo krachtig maakte.
19-01-2013, 17:40 door gogonal
Als het onmogelijk was om browserplugins in browser te installeren en activeren zonder tussenkomst van de gebruiker dan had ik er minder moeite mee.
Nu moet ik blijven controleren of de betreffende plugin wel uitgeschakeld staat. Vaak meegemaakt dat bij het updaten van software (bijvoorbeeld van Adobe) doodleuk een nieuwe/andere versie van de browserplugin werd geïnstalleerd en ook weer actief was. Je wordt namelijk niet altijd netjes verteld dat er een browserplugin wordt geïnstalleerd. De meesten die Java op hun systeem hebben draaien weten wellicht niet eens van het bestaan van die plugin af..
20-01-2013, 10:18 door [Account Verwijderd]
[Verwijderd]
20-01-2013, 10:48 door Anoniem
You don't get it, do you?

De lekken in java hebben NIETS te maken met de browser plugin, al manifesteren ze zich daar het eerst. De lekken in Java betreffen elke java applicatie! En als je dus java wilt gebruiken in een openbaar netwerk ben je willens en wetens bezig enorme risico's te nemen.

Nogmaals: lees de exploits info nou eens goed door: Java is lek, niet alleen de Java browser plugin.... Zucht.
21-01-2013, 11:43 door Anoniem
Op zich heb je gelijk dat de exploits ook in standalone applicaties kunnen voorkomen, maar ALLEEN indien die bytecode uitonveilige bron laden (zoals de browser plugin dus...). Dat gebeurt bij standalone apps praktisch niet en is dus even veilig als een C applicatie; als die een .DLL uit onveilige bron laadt gaat het ook mis. Daarnaast draaien standalone applicaties vaak niet met de Java Security Manager (plugins wel), dus zouden de exploits om die te omzeilen niet eens nodig zijn!

Dat alle Java standalone applicaties op een openbaar netwerk niet veilig zijn is dus klinkkare onzin.
21-01-2013, 17:08 door Anoniem
Nee, dus. Die manager is een java applicatie en op sommige platforms deels een java applicatie.... Alweer zucht. LEES DE EXPLOITS DOOR (sorry dat ik schreeuw) Het is doodsimpel om ook de security manager te omzeilen. Bestudeer het probleem voor je iets opschrijft.
22-01-2013, 13:45 door Anoniem
Als je bij Oracle via http://www.oracle.com/technetwork/topics/security/alerts-086861.html alle patch updates/security alerts doorloopt zie je bij veel issues staan:

"Applies to client deployment of Java only. This vulnerability can be exploited only through untrusted Java Web Start applications and untrusted Java applets. (Untrusted Java Web Start applications and untrusted applets run in the Java sandbox with limited privileges.)"

Bij andere issues staat soms:

"It can also be exploited by supplying data to APIs in the specified Component without using untrusted Java Web Start applications or untrusted Java applets, such as through a web service."

Deze vulnerabilities komen veel minder voor en moeten per specifieke stand-alone or server-side Java applicatie worden getriggered en hebben een veel kleinere attack surface dan Java applet installaties in browsers. Er zijn niet veel nieuwsberichten over attacks voor Java applicaties te vinden die werken met het openen van malicious bestanden, serialized data, font files, aanroepen webservices, etc. Als je Java zonder de browser plugin bekijkt is er naar mijn mening geen aanleiding om het direct te dumpen; voor stand-alone applicaties or server-side Java is een alternatief platform in dat opzicht niet opeens veel veiliger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.