image

Oracle noodpatch voor ernstig Java-lek

vrijdag 31 augustus 2012, 09:47 door Redactie, 5 reacties

Oracle heeft een noodpatch voor Java 7 uitgebracht om verschillende beveiligingslekken te dichten die op grote schaal worden misbruikt. Via de lekken was het mogelijk voor aanvallers om zowel computers met Windows, Mac als Linux over te nemen. Het bezoeken van een kwaadaardige of gehackte website was hiervoor voldoende.

Volgens de Poolse beveiligingsonderzoekers Adam Gowdiak was Oracle al sinds april van de problemen op de hoogte en zou het in oktober met een update komen. Security Explorations, het bedrijf van Gowdiak, stelt dat er zeker 16 kwetsbaarheden in Java 7 update 6 aanwezig zijn om de sandbox te compromitteren en het onderliggende systeem over te nemen.

Update
Vanwege het groeiend aantal aanvallen via de ongepatchte Java-lekken is er nu toch een noodpatch verschenen, zowel voor Java 7 als Java 6. Uit analyse van beveiligingsbedrijf Immunity blijkt dat Oracle vier kwetsbaarheden in Java heeft gepatcht.

Verder zijn bepaalde functies en methodes door Oracle aangepast, waardoor de technieken die de exploit gebruikte niet meer werken. De updates zijn via deze pagina te downloaden.

Reacties (5)
31-08-2012, 10:24 door Anoniem
hmmm ... en de zero days zouden specifiek voor java 7 zijn ...Maar ook Java 6 wordt gepatched ...
Wat een bende ...
31-08-2012, 10:34 door Anoniem
Dus er staan nog zo'n 14 lekken en kwetsbaarheden open ... well done, Oracle :(
31-08-2012, 10:46 door m_secnl
Als je op de Oracle site naar de CVE score kijkt die bij 1.6.0_35 staat en de laatste alinea van het artikel leest, zie je waarom 1.6 ook is gepatcht. Het zijn kwetsbaarheden die in relatie met andere kwetsbaarheden een risico vormen.
31-08-2012, 19:00 door Anoniem
Tja er is gebleken dat deze noodpatch ook nog een ernstig lek heeft.
Wanneer worden ze nou eens wakker overal!, en wordt java bij iedere website vervangen voor iets veiligers?.
Internet sites doen het best zonder java,als ze java laten vallen,een complete vervanging voor java is toch ook mogelijk?.
Ik ben benieuwd hoe het dan met Openjdk van Linux zelf is,weet iemand of de lekken zich daar ook in bevinden?.
Namelijk in icedtea voor linux?.
Dit is volgens mij nog de minst beroerde java versie die er is.
Deze versie is open source en er wordt steeds aan getimmerd,dus lekken worden veel vaker gedicht daar naar mijn idee,dan bij de grotere broer Oracle.
01-09-2012, 22:43 door Marti van Lin
Hoezo Linux ook lek? de meeste GNU/Linux distributies gebruiken al jaren IcedTea en OpenJDK, in plaats van Oracle's proprietary implementatie. Als een lek pakket niet is geïnstalleerd, kan het systeem in kwestie er toch ook niet kwetsbaar door worden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.