image

Java-beveiliging in 15 minuten gekraakt

woensdag 6 februari 2013, 12:15 door Redactie, 10 reacties

Een nieuwe beveiligingsmaatregel die Oracle onlangs in Java introduceerde is in een mum van tijd gekraakt. In januari verscheen er een noodpatch voor Java die naast het dichten van een ernstig beveiligingslek in de software, ook het standaard Java beveiligingsniveau van 'Medium' naar 'High' verhoogde. Door deze nieuwe instelling krijgt een gebruiker altijd een waarschuwing te zien voordat een ongesigneerd Java applet of Java Web Start applicatie wordt uitgevoerd.

"Dit maakt al je Java-lekken onbruikbaar, want als je strategie ervan afhankelijk is dat een gebruiker op de waarschuwing klikt, is het beter om een zelf gesigneerde applet te maken dat buiten de sandbox wordt uitgevoerd als ze op oké klikken ", stelt Nico Waisman van het Amerikaanse beveiligingsbedrijf Immunity.

Beveiliging
"Maar wacht eens, we hebben het hier over Java?", laat Waisman weten. Er werd dan ook besloten om te kijken of de maatregel is te omzeilen, zodat er zonder waarschuwing toch een kwaadaardig Java-applet met een exploit kan worden uitgevoerd. Een collega van Waisman wist de beveiliging binnen een kwartier te kraken.

Dezelfde beveiliging werd onlangs ook al door de Poolse beveiligingsonderzoeker Adam Gowdiak gekraakt. Waisman wil het niet als een beveiligingslek bestempelen, aangezien het om een beveiligingsimplementatie gaat. "Is Java nu dood? Dat laat ik aan jullie over om te bepalen."

Reacties (10)
06-02-2013, 12:33 door [Account Verwijderd]
[Verwijderd]
06-02-2013, 13:25 door Arie
Nee Java is - helaas - nog niet dood, het wordt nog veel gebruikt binnen bedrijfsomgevingen en zeker voor kritieke zaken als vpn (checkpoint ssl extender) en bankzaken (Rabobank RFLP Reader) is dit niet zomaar af te schaffen.
En trouwens, Windows (altijd lek) is ook niet dood. Software kan niet dood gaan :-) nog niet....
06-02-2013, 13:45 door Whacko
Java voor de consument is inderdaad redelijk dood. Maar wordt nog steeds erg veel gebruikt voor webapplicaties (en dan heb ik het niet over applets)
06-02-2013, 18:06 door Anoniem
Deze opmerking heeft toch geen betrekking op de uitgebrachte beveiligingsupdate van 1 februari?
Zowel Nico als Adam rapporteren dit op JAVA 7 beveiligingsupdate 11 en niet op beveiligingsupdate 13
06-02-2013, 19:33 door [Account Verwijderd]
[Verwijderd]
06-02-2013, 19:35 door [Account Verwijderd]
[Verwijderd]
07-02-2013, 08:45 door Arie
Door Krakatau: Helaas?! Hoezo? Java wordt steeds meer gebruikt binnen bedrijfsomgevingen, bankzaken, etc. En met goede reden: veiligheid, robuustheid, etc. Zet dat eens af tegen bv. van die PHP stacks die sommigen gebruiken! Als je het over eng hebt, dan heb je het over dat soort hobbyisten oplossingen die voor professionele toepassingen gebruikt worden :-(

In deze gaat het voor mij niet om het gebruik van Java voor het veilig bouwen van server-applicatiesmaar om de aanwezigheid van Java op de desktop en de internet/browser-integratie die nodig is. Liever geen Java op clientmachines. De reden, vaak komt malware zo binnen en vaak is deze maar voor één toepassing nodig.
07-02-2013, 13:19 door SecurityBlasterx
Einde java vorig jaar al die rommel is zo lek als een mandje en Java zelf geeft het niet toe. Ze hebben ook noobs auq security.
08-02-2013, 01:53 door Anoniem
Java is een taal die werkelijk overal gebruikt wordt. Multiplatform en je komt het overal tegen.

Het concept is ook goed alleen mogen ze wellicht wat sneller reageren met goede patches.

Maar Java is ansich een steengoed concept. Heel veel telefoons met name de Android based telefoons stikken vd java code...en dat is al de helft van de markt die nu gedigirigeerd wordt door Samsung en Apple.

@Peter_v : je zit er echt compleet naast man.
09-02-2013, 09:42 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.