Java uitschakelen niet genoeg voor Mac-gebruikers
Vanwege alle recente beveiligingsproblemen met Java wordt gebruikers regelmatig geadviseerd om de Java browserplug-in uit te schakelen, maar dat blijkt voor Mac-gebruikers niet voldoende te zijn. Apple publiceerde een belangrijke beveiligingsupdate voor Mac OS X Mountain Lion die in totaal 21 lekken verhelpt. Eén van de verholpen problemen betreft een lek in CoreTypes.
Hierdoor was het voor een kwaadaardige of gehackte websites mogelijk om automatisch een Java Web Start applicatie te starten, ook al was de Java browserplug-in uitgeschakeld. Apple heeft het probleem opgelost door Java Network Launching Protocol (JNLP) bestanden uit de lijst met veilige bestandstypen te verwijderen. Daardoor wordt de applicatie niet automatisch gestart en moet de gebruiker die zelf openen.
Verder wordt na het installeren van OS X Mountain Lion v10.8.3 en Security Update 2013-001 ook de 'malware removal' tool gedraaid om het systeem op de meest voorkomende Mac-malware te scannen, en indien aangetroffen, te verwijderen.
Safari heeft de functie: Open "safe" files after download automatically.
Apple heeft deze functie standaard op actief staan.
Zodra bijvoorbeeld een JPG wordt gedownload, opent Finder deze automatisch.
Blijkbaar had Apple ook JNLP in de lijst met veilige bestandstypen opgenomen,
hetgeen nooit had mogen gebeuren!
Kortom: Een fout van Apple, niet van Oracle!
Onder andere deze kwetsbaarheid is al jaren te voorkomen door het toepassen van bekende best security practices voor de Mac.
Met aandacht voor LaunchAgents, LaunchDaemons, Coreservices, Frameworks etc etc etc..
Te vinden in Security guides, Hardening guides / tips, security tips, etc.
Voor het simpel saboteren van het Java JVM (verwijderen ".jdk") zie bijvoorbeeld het artikel van Topher Kessler "Disabling Java via the command line in OS X is not easy" .
http://reviews.cnet.com/8301-13727_7-57413258-263/disabling-java-via-the-command-line-in-os-x-is-not-easy/
Dan werkt geen enkele java applicatie meer.
Verwijderen van java gerelateerde bestanden kan ook, al is dat wat meer werk.
Misbruik van simpele voorkeur instellingen valt overigens denk ik onder de verantwoordelijkheid van een gebruiker zelf, die helaas nogal eens niet de moeite neemt om voor gebruik van een applicatie deze door te nemen en goed in te stellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
