image

"Meeste Java-gebruikers negeren noodpatch"

vrijdag 31 augustus 2012, 12:16 door Redactie, 17 reacties

Oracle mag dan een noodpatch voor een ernstig lek in Java hebben uitgebracht, het kan nog wel even duren voordat gebruikers de update ook daadwerkelijk installeren. Dat zegt H.D. Moore, ontwikkelaar van de bekende hackertoolkit Metasploit. Daarnaast is het goed mogelijk dat er nog andere lekken zijn waardoor aanvallers de patch kunnen omzeilen.

"De eenvoudig te misbruiken gevallen lijken te zijn opgelost", zo laat hij tegenover Forbes weten. "Maar er zijn mogelijk andere manieren om dezelfde code aan te roepen. Het vereist mogelijk wat graafwerk om een andere variant te vinden."

Patch
En zelfs als de patch alle problemen verhelpt, kan het nog maanden duren voordat gebruikers die installeren. De meeste gebruikers updaten Java niet meteen zodra er een patch verschijnt. Uit eerder onderzoek van Rapid7, het bedrijf waarvoor Moore werkt, blijkt dat 60% van de Java-installaties nooit up-to-date is.

De eerste maand na het verschijnen van een Java-patch blijkt dat minder dan 10% van de gebruikers die installeert. Na twee maanden heeft ongeveer 20% de update uitgerold. Na drie maanden loopt het percentage op tot 30%. Het hoogste percentage van gepatchte installaties dat Rapid7 waarnam betrof 38%.

Exploit
Wat betreft het toevoegen van de exploit aan Metasploit is dit volgens ontwikkelaar Tod Beardsley erg belangrijk. De aankondiging van FireEye noemt hij erg 'cryptisch', waardoor belangrijke details achterbleven.

Door eigen onderzoek werd de exploit uiteindelijk toch gevonden en verder als Metasploit module uitgewerkt. "Deze ervaring bevestigt dat open en publieke exploits elke keer weer geheime en private warezkits verslaan", merkt Beardsley op. "Vandaag weten we allemaal van het probleem en kunnen we aan een oplossing werken."

Oracle
Hoewel Oracle het probleem nu heeft gepatcht, krijgt het bedrijf veel kritiek omdat het gebruikers niet goed voorlicht over de ernst van de situatie. "Er is nergens een waarschuwing op de website dat het een belangrijke beveiligingsupdate is", zegt beveiligingsonderzoekster Melissa Elliott van Veracode op Twitter.

"Aan de Oracle engineers die de afgelopen nachten doortrokken: bedankt. Aan Oracle PR: jullie zijn verschrikkelijke mensen die het verdienen om te lijden."

Reacties (17)
31-08-2012, 13:06 door alexNL
Het helpt natuurlijk niet dat de auto-update van Java zelf nog nergens over zeurt en dat gebruikers (los van de security minded mensen op deze site) wellicht nog steeds niet weten wat er zoal speelt.
31-08-2012, 13:42 door Anoniem
Aan Oracle PR: jullie zijn verschrikkelijke mensen die het verdienen om te lijden.

Wat een haat om een stuk software dat je niet eens geïnstalleerd moet hebben.
31-08-2012, 13:55 door Whacko
Of je zit in een bedrijf die de auto-update uitschakelt, en je moet wachten op een gepushte update van systeembeheer, die door beureaucratische regels eerst 40 goedkeuringen moeten hebben en dus pas volgende week de update over het hele netwerk kunnen zetten ;)
31-08-2012, 14:00 door SPlid
Misschien een beetje flauwe opmerking, het zou ook mooi zijn als metasploit er niet als de kippen bij zou zijn om de kwetsbaarheden in de tool in te bouwen zonder dat er een eerlijke kans is om te patchen (er moet ten slotte wel een patch beschikbaar zijn) . Ik vind dat ze daar ook veel beetje veel boter op het hoofd hebben opmerkingen, want nu kunnen zelfs de scripkiddies hun gang gaan.
We zijn hier allemaal erg bij gebaat :-( maar niet heus.
Waarom is het noodzaklijk om deze aanvals methodieken op te nemen ? Kan me voorstellen dat dit over een tijd gebeurt zodat bedrijven kunnen controleren of ze kwetsbaar zijn, maar dit helpt crimenelen toch duidelijk een eind op weg.

(Ik ben trouwens niet voor verbieden, maar wel voor even nadenken .....)
31-08-2012, 14:17 door yobi
Dus Java gewoon verwijderen!
31-08-2012, 16:13 door Anoniem
Door Whacko: Of je zit in een bedrijf die de auto-update uitschakelt, en je moet wachten op een gepushte update van systeembeheer, die door beureaucratische regels eerst 40 goedkeuringen moeten hebben en dus pas volgende week de update over het hele netwerk kunnen zetten ;)

Of je hebt een systeem beheerder die patches zonder goedkeuring en testen vrijgeeft en er daarna achterkomt dat een aantal applicaties niet meer werken. En dan kom je er achter dat die bureaucratische regeltjes vooral in het geval van Java nog goed zijn ook. Elke update moet je met veel argwaan behandelen, het zal niet de eerste keer zijn dat een update compatibiliteit met een applicatie breekt.
31-08-2012, 18:23 door [Account Verwijderd]
[Verwijderd]
31-08-2012, 22:01 door alexNL
Deze update is inclusief vers lek:
http://tweakers.net/nieuws/84105/noodpatch-oracle-voor-kritiek-lek-java-bevat-nieuwe-kwetsbaarheid.html
01-09-2012, 02:07 door Anoniem
over Java gesproken
en over updates bij houden controlleer ik best vaak ,
iederdag eigenlijk beetje uit verveling

maar moet er wel bij zeggen waar dit nieuws van Java over gaat
dat ik dit ook niet heb had geweten als net 60% andere mensen
met dat als ik nie op security.nl dit had gezien

ik zelf gebruik wel een automatische updater van psi personel security inspector
maar raar genoeg gaf die geen nieuw update aan van Java

ben zelf naar java in pc gegaan en naar check update gegaan
en ik had versie 6nog wat en nu 7 nog wat

deze nood patch heb ik nog niet gedownload maar dat doe ik
meteen hier na ,
omdat ik dit met toeval ook weer op security.nl zag

dus ik begrijpt heel goed dat er 60% niet eens weten van java of laat staan dat er een belangrijke update van uit is

en de meeste intreseren pc updates niet eens die gaan er van uit dat ze met microsoft updates meteen mee komen
of weten het niet eens

die gene die het veiligst zijn zijn dan toch weer de mensen die respect hebben voor hun pc en weten wat ze doen
of ja in die zin dan

maar idt kan uit eindelijk ook elke kant weer uit nu maar ff die update check doen van java

en nog een vraagje 1
is java nu veilig om aan te zetten met deze nood patch ?
heb hem maar ff uitgezet in de browser via nieuw tip security.nl
01-09-2012, 10:13 door DocimatTheGreat
ik heb java uitgezet in chrome
ben je van al het gezeur af
02-09-2012, 00:04 door eXpL0iT.be
Door alex.nl: Deze update is inclusief vers lek

31-Aug-2012
- Vulnerability Notice along with a Proof of Concept code are sent to Oracle corporation (Issue 32).
- Oracle confirms successful reception and decryption of the vulnerability report. The company provides a tracking number for the unconfirmed issue. Oracle informs that it will investigate the issue based on the data provided and will get back with the results soon.
02-09-2012, 12:27 door MrBil
Weet je hoe dat komt??.. Omdat de updates die ze uitbrengen ook lekken bevatten, zo blijf je dus nooit up-to-date en beveiligd..
02-09-2012, 12:52 door yobi
Zie ook:
http://webwereld.nl/nieuws/111638/-java-noodpatch-bevat-nieuw-kritiek-lek-.html

Verwijderen dus.
02-09-2012, 13:48 door Security Scene Team
zoals met elke patch die voor wat dan ook uitgebracht wordt, het zij windows of java maakt niet uit maar bij elke patch komen weer nieuwe beveiligings problemen. is voorkomen niet beter dan genezen? schakel voor de zekerheid java uit, en probeer toch eens Noscript. dit geeft je de mogelijkheid om zelf controle uit te oefenen op de malicious websites die je bezoekt bijv.

en het gaat niet om het negeren van een nood patch, elke keer als ze zulke blunders maken zitten wij met de gebakken peren.
Daarom wacht ik liever tot ze hun dingen weer op orde hebben, tot die tijd is noscript mijn aller beste vriend. (1 van de beste haha)
02-09-2012, 21:02 door yobi
Helaas wordt java (een oude versie) veelal geïnstalleerd bij een schone installatie (herstel-disk).

Verwijderen gaat niet vanzelf. Na het verwijderen via het configuratiescherm blijven er nog een aantal zaken achter. De plug-in staat nog actief in internet-explorer. Verwijderen gaat door in de registry-editor te zoeken naar het class-ID (Klasse-id) en deze entries te verwijderen. Deze is te vinden via invoegtoepassing beheren de java helper te selecteren en vervolgens op 'meer informatie' te klikken. Het id is niet te selecteren en moet dus worden overgetypt.

Ook staan er nog een aantal java zaken in de software entries. Niet makkelijk te verwijderen voor normale gebruikers lijkt me.
03-09-2012, 08:44 door yobi
Zie ook het verhaal van Bitwiper:
http://www.security.nl/artikel/42914/1/Java-noodpatch_blijkt_lek.html

De invoegtoepassing wordt pas gertoond na het surfer naar www.java.com/en/download/installed.jsp. Vervolgens op de knop controleren drukken.

De class-ID van Deployment toolkit kan dan ook worden opgevraagd en via de registry editor worden verwijderd. In mijn geval is het ID CAFEEFAC-DEC7-0000-0001-ABCDEFFEDCBA. Ook CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA heb ik verwijderd.
03-09-2012, 18:44 door klaaswes
het lukt me niet eens om Java te installeren, ik kan er zonder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.