Een nieuwe beveiligingsmaatregel die Oracle onlangs in Java introduceerde is in een mum van tijd gekraakt. In januari verscheen er een noodpatch voor Java die naast het dichten van een ernstig beveiligingslek in de software, ook het standaard Java beveiligingsniveau van 'Medium' naar 'High' verhoogde. Door deze nieuwe instelling krijgt een gebruiker altijd een waarschuwing te zien voordat een ongesigneerd Java applet of Java Web Start applicatie wordt uitgevoerd.
"Dit maakt al je Java-lekken onbruikbaar, want als je strategie ervan afhankelijk is dat een gebruiker op de waarschuwing klikt, is het beter om een zelf gesigneerde applet te maken dat buiten de sandbox wordt uitgevoerd als ze op oké klikken ", stelt Nico Waisman van het Amerikaanse beveiligingsbedrijf Immunity.
Beveiliging
"Maar wacht eens, we hebben het hier over Java?", laat Waisman weten. Er werd dan ook besloten om te kijken of de maatregel is te omzeilen, zodat er zonder waarschuwing toch een kwaadaardig Java-applet met een exploit kan worden uitgevoerd. Een collega van Waisman wist de beveiliging binnen een kwartier te kraken.
Dezelfde beveiliging werd onlangs ook al door de Poolse beveiligingsonderzoeker Adam Gowdiak gekraakt. Waisman wil het niet als een beveiligingslek bestempelen, aangezien het om een beveiligingsimplementatie gaat. "Is Java nu dood? Dat laat ik aan jullie over om te bepalen."
Deze posting is gelocked. Reageren is niet meer mogelijk.