Nieuw Java-lek actief misbruikt door hackers
Er is een nieuw beveiligingslek in Java 7 ontdekt dat hackers actief misbruiken om computers over te nemen. Dat meldt het securityblog 'Malware Don't Need Coffee'. Het blog wordt bijgehouden door 'Kafeine', die naar eigen zeggen twijfelde om de kwetsbaarheid te rapporteren. De website waarop de exploit draait die het lek misbruikt, zou dagelijks honderdduizenden hits krijgen.
"Dit kan een gekkenhuis worden", zo laat de blogger weten. Hij besloot dan ook om voor het nieuwe lek te waarschuwen, hoewel details nog ontbreken, behalve dat het om Java 7 Update 10 gaat. Of ook andere Java-versies kwetsbaar zijn, is op dit moment nog onbekend. "Ik denk dat het beter is om hier ruchtbaarheid aan te geven. Zal meer details publiceren als de situatie minder ernstig is." Java 7 Update 10 verscheen op 19 december.
Vooralsnog krijgen Java-gebruikers het advies om Java in de browser uit te schakelen. Security.nl legt in dit stappenplan uit hoe je Java kunt uitschakelen.
Update 15:15
Beveiligingsbedrijf AlienVault Labs heeft de zero-day kwetsbaarheid bevestigd. Volgens de beveiliger wordt de nieuwe exploit, die lijkt op een eerdere exploit voor een ander Java-lek (CVE-2012-4681), door zowel de Blackhole als Nuclear Pack exploit-kits gebruikt. Java-lek CVE-2012-4681 was aanwezig in Java 7 Update 6.
Blackhole is de populairste exploit-kit van het moment en zorgt ervoor dat criminelen eenvoudig internetgebruikers kunnen infecteren door op gehackte of kwaadaardige websites iframes of JavaScript te plaatsen die naar de exploit-kit wijzen.
Een kwetsbare gebruiker wordt vervolgens automatisch geïnfecteerd. Doordat populaire exploit-kits over de nieuwe Java-exploit beschikken is grootschalig misbruik een serieus risico.
Ook AlienVault Labs adviseert om Java uit te schakelen en vraagt zich af hoe lang het zal duren voordat Oracle met een update komt. Java zou op zo'n 68% van alle computers geïnstalleerd zijn.
Wat een leuk bericht is dit weer als je bedenkt dat de zakelijke bankapplicaties zoals die van ING en de Deutsche Bank alleen maar werken met Java. Vandaag net weer zo'n super applicatie geïnstalleerd die Java nodig heeft op de desktop.
Een enkele keer moet ik even weer Java erop zetten, maar die gaat daarna gelijk er weer af.
Dit is de enige manier om nog enigszins veilig te kunnen interneten.
Ik heb dus niet zo veel java nodig als @WesleySmalls, maar ik denk dat dit voor heel veel gebruikers geldt.
Helaas is het ook zó omarmd door de industrie dat alternatieve oplossingen, hoe goed zo ook zijn, geen schijn van kans hebben.
Hetzelfde geldt overigens ook voor -op zich eenvoudige- applicaties die persé het logge .net framework nodig hebben. Ook zo'n ramp.
Ga over op Firefox met add-on NoScript.
Met NoScript kun je zelf bepalen welk java-script je tijdelijk of permanent activeert op een website.
Installeer dan ook gelijk AdBlock Plus en je bent ook gelijk heel veel reclame kwijt.
De sites die Java (waar het hier over gaat) gebruiken die moet je tegenwoordig echt met een nachtkaarsje zoeken...
Hoezo heeft ING Java nodig? Werkt hier prima zonder Java.
Doelde Anoniem mogelijk op een specifiek zakelijke applicatie van ING, waarvoor anders dan voor ING internetbankieren voor particulieren wél Java nodig is?
Ik zou Java graag uitschakelen, heel graag zelfs. Helaas zijn dan 90% van de sites die ik gebruik niet meer of half te gebruiken.
Hebben werkelijk 90% van de sites die je gebruikt Java nodig - Wow! Is dat dan een speciale categorie sites?
Hetzelfde geldt overigens ook voor -op zich eenvoudige- applicaties die persé het logge .net framework nodig hebben. Ook zo'n ramp.
Zeg dat wel. Minstens net zo veel security issues als Java, en ze zijn nog blijven hangen in de tijd dat je iedere versie van dat product naast elkaar op je PC hebt (zoals vroeger ook met Java), dus als er een update komt moet je altijd 2 of 3 van die logge pakketten updaten.
En dat duurt ook nog eens veel langer dan het updaten van Java.
Iedereen zou dat eens moeten proberen. Standaard verwijder ik alle Java installaties bij de pc's die hier besmet binnenkomen en Java wordt ook niet meer op nieuwe pc's geïnstalleerd. Ik hoor eigenlijk ook nooit klanten dat ze functionaliteit missen.
Waar wel wat mis mee is, is integratie in de browser.
Java is meestal nodig voor spelletjes op internet, voor het beheer van switches via een web-interface en voor sommige printers. De bank-applicatie is mij niet bekend.
Ga over op Firefox met add-on NoScript.
Met NoScript kun je zelf bepalen welk java-script je tijdelijk of permanent activeert op een website.
Installeer dan ook gelijk AdBlock Plus en je bent ook gelijk heel veel reclame kwijt.
Gebruik Opera en na 4 jaar nog steeds verliefd, zal vast wel een gelijke extensie zijn voor Opera, kijk zo even.
De sites die Java (waar het hier over gaat) gebruiken die moet je tegenwoordig echt met een nachtkaarsje zoeken...
Ik haal Java en Javascript wel vaker door elkaar, zo nu opnieuw
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.