Weer nieuwe Java-lekken ontdekt
Een Poolse beveiligingsonderzoeker heeft twee ernstige beveiligingslekken in de meest recente versie van Java ontdekt die Oracle afgelopen zondag publiceerde en waarvoor nog geen oplossing is. Die versie verscheen vanwege een zero day-lek dat nog altijd actief door aanvallers wordt gebruikt voor het aanvallen van kwetsbare computers.
Sandbox
Al gauw werd duidelijk dat Java 7 Update 11 slechts één van de twee problemen verhielp. Adam Gowdiak van Security Explorations besloot verder onderzoek naar de veiligheid van Java te verrichten, en ontdekte twee geheel nieuwe beveiligingsproblemen. Deze lekken, nummer 51 en 52 genaamd, maken het mogelijk om uit de sandboxbeveiliging te ontsnappen en het onderliggende systeem over te nemen.
Gowdiak laat op de Full-disclosure mailinglist weten dat Oracle vandaag is ingelicht. Naast informatie over de kwetsbaarheid zou het bedrijf ook een werkende proof-of-concept exploit hebben ontvangen.
Deze week werd op een cybercrime-forum voor 4.000 euro een zero-day exploit voor een onbekend lek in Java 7 Update 11 aangeboden, maar het is nog altijd onduidelijk of het hier om een echt lek gaat.
Verwijderen
Door de stroom van beveiligingslekken hebben allerlei organisaties en experts, waaronder de Amerikaanse overheid, inmiddels opgeroepen tot het geheel verwijderen van Java. De browserplug-in is op zo'n 70% van alle computers geïnstalleerd, maar is voor normaal internetgebruik nauwelijks nodig.
Naast een zeer beperkt aantal sites dat Java vereist, niet te verwarren met JavaScript, zijn er echter ook verschillende populaire spellen, zoals Minecraft, die alleen met Java werken.
Ik gebruik dit dus niet, omdat ik geen Java op mijn systemen wil. Maar met tegenzin. Fijne media server. Veel uitgebreider dan die van de fabrikant van mijn TV.
Stop met het bouwen van applicaties die op Java draaien. Java is een dood peerd.
Ik gebruik dit dus niet, omdat ik geen Java op mijn systemen wil. Maar met tegenzin. Fijne media server. Veel uitgebreider dan die van de fabrikant van mijn TV.
Wat je van nu af gewoon niet meer moet doen is Java als plugin in je webbrowser gebruiken.
Dat kun je in Java 7 Update 11 eenvoudig uitschakelen (vinkje linksboven in het tabblad security bij de Java instellingen in je control panel).
Locaal software installeren en dan runnen is geen punt.
Nu moet ik blijven controleren of de betreffende plugin wel uitgeschakeld staat. Vaak meegemaakt dat bij het updaten van software (bijvoorbeeld van Adobe) doodleuk een nieuwe/andere versie van de browserplugin werd geïnstalleerd en ook weer actief was. Je wordt namelijk niet altijd netjes verteld dat er een browserplugin wordt geïnstalleerd. De meesten die Java op hun systeem hebben draaien weten wellicht niet eens van het bestaan van die plugin af..
De lekken in java hebben NIETS te maken met de browser plugin, al manifesteren ze zich daar het eerst. De lekken in Java betreffen elke java applicatie! En als je dus java wilt gebruiken in een openbaar netwerk ben je willens en wetens bezig enorme risico's te nemen.
Nogmaals: lees de exploits info nou eens goed door: Java is lek, niet alleen de Java browser plugin.... Zucht.
Dat alle Java standalone applicaties op een openbaar netwerk niet veilig zijn is dus klinkkare onzin.
"Applies to client deployment of Java only. This vulnerability can be exploited only through untrusted Java Web Start applications and untrusted Java applets. (Untrusted Java Web Start applications and untrusted applets run in the Java sandbox with limited privileges.)"
Bij andere issues staat soms:
"It can also be exploited by supplying data to APIs in the specified Component without using untrusted Java Web Start applications or untrusted Java applets, such as through a web service."
Deze vulnerabilities komen veel minder voor en moeten per specifieke stand-alone or server-side Java applicatie worden getriggered en hebben een veel kleinere attack surface dan Java applet installaties in browsers. Er zijn niet veel nieuwsberichten over attacks voor Java applicaties te vinden die werken met het openen van malicious bestanden, serialized data, font files, aanroepen webservices, etc. Als je Java zonder de browser plugin bekijkt is er naar mijn mening geen aanleiding om het direct te dumpen; voor stand-alone applicaties or server-side Java is een alternatief platform in dat opzicht niet opeens veel veiliger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.