image

Weer nieuw Java-lek ontdekt

maandag 22 april 2013, 10:43 door Redactie, 3 reacties

Een paar dagen na een monsterpatch voor Java is er weer een nieuw beveiligingslek in de software ontdekt waarmee aanvallers het onderliggende systeem volledig kunnen overnemen. Vorige week verscheen Java 7 Update 21, waarmee 42 kwetsbaarheden werden opgelost. Toch is de software nog steeds niet veilig, aldus Adam Gowdiak van Security Explorations.

Gowdiak ontdekte een nieuwe kwetsbaarheid die in alle versies van Java 7 aanwezig is en waardoor het mogelijk is om uit de Java-sandbox te breken. Vanwege de nieuwe beveiligingsmaatregel in Java 7 moet een gebruiker wel toestemming geven om een kwaadaardig Java-applet uit te voeren.

Kwetsbaarheid
Sinds Java 7 Update 11 verschijnt er een waarschuwing bij ongesigneerde Java-applets. Daardoor zouden de meeste 'drive-by downloads', waarbij gebruikers stilletjes worden geïnfecteerd, tot het verleden moeten behoren. Dit scenario zou nog wel werken als aanvallers een certificaat bemachtigen om kwaadaardige Java-applets te signeren, maar de meeste applets die cybercriminelen gebruiken zijn ongesigneerd.

Volgens Gowdiak is het nieuwe lek interessant, omdat die niet alleen in de Java plug-in en Java ontwikkelsoftware aanwezig is, maar ook in de recent aangekondigde Java Server.

De onderzoeker stelt dat Security Explorations in april 2012 het eerste beveiligingslek in Java 7 rapporteerde. Inmiddels is er een jaar verstreken, "maar tot onze verrassing konden we nog steeds kwetsbaarheden vinden", aldus Gowdiak op de Full-disclosure mailinglist. Het nieuwste lek is nummer 61 op de lijst van Security Explorations.

Reacties (3)
22-04-2013, 11:53 door Mysterio
Verrassend... maar niet heus
22-04-2013, 12:31 door Anoniem
Leuk spelletje is dat... je zoekt en vindt een flinke collectie fouten, publiceert er een paar, wacht op de fix, en dan ga je testen welke fouten nog steeds aanwezig zijn.
Dan kom je met "nieuwe fout gevonden" en begint het spelletje opnieuw, net zo lang tot je collectie fouten eindelijk uitgeput is of de leverancier er mee kapt.
Dat is natuurlijk veel leuker dan alle fouten in een keer doorgeven en laten oplossen :-)

Zoals ik al zei: als er veel fouten worden gevonden dan is de dichtheid groot. Het is een teken dat er nog veel fouten in zitten.
22-04-2013, 13:21 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.