Hackers zetten in op Java-exploit
Miljoenen Windows gebruikers lopen risico door een aanval op een vier maanden oud beveiligingslek in Java. Exploitcode die het lek misbruikt is namelijk aan hackertoolkits toegevoegd, waardoor er een toename van het aantal aanvallen wordt verwacht. De kwetsbaarheid werd eind maart door Sun via Java Update 13 en JRE 5 update 18 gepatcht. Alle versies hiervoor zijn kwetsbaar voor de exploit, die inmiddels actief wordt ingezet voor het overnemen van machines. Vorig jaar berekende het Deense Secunia dat 35% van de Windows-gebruikers een lekke Java-versie heeft geïnstalleerd.
Het lek zit in de Pack200 compressie methode, die wordt gebruikt voor het comprimeren van Jar bestanden. De methode wordt aangeroepen bij het lezen van Pack200 bestanden. De exploit creëert een Applet die op zijn beurt een speciaal geprepareerd Pack200 bestand downloadt, die vervolgens een Trojaans paard op het systeem achterlaat. De exploitcode verscheen in april op het internet, maar aanvallers zijn er nu pas in geslaagd om die aan hun exploit-toolkits toe te voegen. "Het is interessant om te zien hoe de aanvallers de publiek beschikbare exploit helemaal hebben gekopieerd, ze gebruiken zelfs dezelfde bestandsnamen", aldus Tom Ueltschi. Gebruikers hoeven alleen een gehackte of kwaadaardige website te bezoeken om besmet te raken.
Controle
Hij adviseert gebruikers en beheerders om te controleren of de meest recente versie (Update 14) is geinstalleerd en oude versies verwijderd zijn. "Vergeet ook niet zo'n handige uitbreiding als NoScript, die blootstelling voor de aanval kan beperken door alleen Java of JavaScript op vertrouwde websites toe te staan, in plaats van standaard."
Met dank aan Peter V voor het melden van dit nieuws
Maar hoort Java JRE zichzelf niet te updaten, sinds al weer geruime tijd? Ja. Maar waarom is er dan niet automatisch geupdate naar update 14, en heb ik zelfs geen uitnodiging tot installatie van een update ontvangen, terwijl dat wel zo is ingesteld in het Java control panel?
Blijkbaar werkt dat auto-update systeem nog steeds niet zoals het hoort.
Ik probeerde zonet even de "Update Now" optie vanuit het Java control panel.
Zegt doodleuk: "You already have the latest Java(TM) Platform on this system."
Terwijl "Do I have Java" (Verify Java version for your system)
http://www.java.com/en/download/installed.jsp?detect=jre&try=1
zegt:
"Oops! You don't have the recommended Java installed.
Your Java version is Version 6 Update 13.
Please click the button below to get the recommended Java for your computer.
Version 6 Update 14"
Ik zal 13 maar eens verwijderen en update 14 installeren, eens zien of die een betrouwbaarder update-functie heeft.
Probleem is ook dat als je de nieuwe versie op je systeem zet, de oude versie blijft staan (tenminste, was wel altijd zo, weet niet of ze dit nu verholpen hebben).
Dus kijk na de update voor de zekerheid even of de oude versie wel weg is...
Met alles dat na installatie geen al te uitgebreide configuratie nodig heeft, is het wellicht zelfs het verstandigste om eerst de oude versie grondig te verwijderen, en vervolgens pas de nieuwste versie te installeren.
Gezien de geschiedenis van Sun Java JRE (en nog zo wat programmaatjes) met niet of beroerd verwijderen van oude versies, kies ik er tegenwoordig vrijwel altijd voor om eerst de oude versie te verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.