Java-gebruikers die een melding voorgeschoteld krijgen dat een Java-applet van een betrouwbare partij afkomstig is kunnen hier niet op vertrouwen. Java-ontwikkelaars kunnen via een certificaat een Java-applet signeren. De gebruiker weet zo van wie het applet afkomstig is. Daarnaast worden gesigneerde applets standaard uitgevoerd. Bij alle ongesigneerde applets verschijnt een waarschuwing.
Onlangs werd er een kwaadaardig Java-applet ontdekt dat van een geldig certificaat was voorzien. De privésleutel voor het signeren van het applet was bij een Amerikaans consultancybedrijf gestolen. Het certificaat werd op 7 december door certificaatverstrekker Go Daddy ingetrokken.
Controle
Het probleem is dat Java niet standaard controleert of certificaten zijn ingetrokken en ze daardoor zonder waarschuwing gewoon uitvoert. Gebruikers kunnen dit wijzigen, maar moeten het wel zelf instellen.
"Samengevat, gesigneerde Java-apps zijn niet te vertrouwen als je niet de 'check revocation lists' inschakelt", aldus onderzoeker Eric Romang.
Deze posting is gelocked. Reageren is niet meer mogelijk.