Onofficiële update voor ernstig Java-lek *update*
Het kan nog wel even duren voordat een zeer ernstig beveiligingslek in Java wordt gepatcht, waardoor een Duitse onderzoek besloot een onofficiële update te ontwikkelen. Beveiligingsbedrijf FireEye liet eerder weten dat er een nieuwe zero-day kwetsbaarheid is ontdekt die aanvallers actief misbruiken. De volgende patchcyclus van Oracle staat echter gepland voor 16 oktober, wat betekent dat veel systemen op internet lange tijd kwetsbaar blijven.
Aangezien Oracle zelden met een noodpatch komt, besloot de Duitse beveiligingsonderzoeker Michael 'mihi' Schierl een eigen patch te ontwikkelen. Schierl onderzocht eerder verschillende Java-lekken.
Zero-day
Beveiligingsonderzoekster Mila Parkour merkt op dat het om een onofficiële patch gaat die zeer beperkt is getest. Volgens haar is het beter om Java in de browser uit te schakelen of Chrome te gebruiken. Wie in een bedrijf werkt waar Java vereist is, kan haar een e-mail sturen. De update is alleen voor bedrijven bedoeld, thuisgebruikers krijgen het advies om de plug-in uit te schakelen.
Tevens laat Parkour weten dat een werknemer van beveiligingsbedrijf Immunity op 10 augustus via Twitter meldde dat er een Java zero-day exploit aan het beveiligingsprogramma van het bedrijf was toegevoegd. Klanten van het beveiligingsbedrijf krijgen zo inzicht in nieuwe lekken en kunnen zo hun eigen systemen beter beschermen. Het is nu de vraag of het om dezelfde Java zero-day kwetsbaarheid gaat, of dat er twee zero-days in Java aanwezig zijn.
Update 15:35
Parkour laat in een update weten dat de eerste exploit niet op Google Chrome werkte, maar aangezien de makers van Metasploit beweren dat ook Chrome-gebruikers kwetsbaar zijn, is het advies om Chrome te gebruiken ingetrokken.
[quote=Evgeny Legerov]
Hi,
We are releasing working Java 0day with this update !
It has been tested on Windows 7 with IE, Opera and Firefox.
The demo will follow shortly.
Regards,
Evgeny Legerov[/quote]Bron: http://is.gd/BrM0bu
gr.Ger.
Is er eigenlijk een alternatief, zodat ze wel kan klaverjassen?
Op mijn eigen systeem er lang geleden al af gegooid.
En is het voldoende dat ik java in mijn browser uitzet of moet ik het helemaal van de computer halen?
Overigens: Java heb 3 weken geleden volledig gewist van mijn computer en heb tot nu geen nadelig effect ondervonden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.