Java uitschakelen niet genoeg voor Mac-gebruikers
Vanwege alle recente beveiligingsproblemen met Java wordt gebruikers regelmatig geadviseerd om de Java browserplug-in uit te schakelen, maar dat blijkt voor Mac-gebruikers niet voldoende te zijn. Apple publiceerde een belangrijke beveiligingsupdate voor Mac OS X Mountain Lion die in totaal 21 lekken verhelpt. Eén van de verholpen problemen betreft een lek in CoreTypes.
Hierdoor was het voor een kwaadaardige of gehackte websites mogelijk om automatisch een Java Web Start applicatie te starten, ook al was de Java browserplug-in uitgeschakeld. Apple heeft het probleem opgelost door Java Network Launching Protocol (JNLP) bestanden uit de lijst met veilige bestandstypen te verwijderen. Daardoor wordt de applicatie niet automatisch gestart en moet de gebruiker die zelf openen.
Verder wordt na het installeren van OS X Mountain Lion v10.8.3 en Security Update 2013-001 ook de 'malware removal' tool gedraaid om het systeem op de meest voorkomende Mac-malware te scannen, en indien aangetroffen, te verwijderen.
Safari heeft de functie: Open "safe" files after download automatically.
Apple heeft deze functie standaard op actief staan.
Zodra bijvoorbeeld een JPG wordt gedownload, opent Finder deze automatisch.
Blijkbaar had Apple ook JNLP in de lijst met veilige bestandstypen opgenomen,
hetgeen nooit had mogen gebeuren!
Kortom: Een fout van Apple, niet van Oracle!
Onder andere deze kwetsbaarheid is al jaren te voorkomen door het toepassen van bekende best security practices voor de Mac.
Met aandacht voor LaunchAgents, LaunchDaemons, Coreservices, Frameworks etc etc etc..
Te vinden in Security guides, Hardening guides / tips, security tips, etc.
Voor het simpel saboteren van het Java JVM (verwijderen ".jdk") zie bijvoorbeeld het artikel van Topher Kessler "Disabling Java via the command line in OS X is not easy" .
http://reviews.cnet.com/8301-13727_7-57413258-263/disabling-java-via-the-command-line-in-os-x-is-not-easy/
Dan werkt geen enkele java applicatie meer.
Verwijderen van java gerelateerde bestanden kan ook, al is dat wat meer werk.
Misbruik van simpele voorkeur instellingen valt overigens denk ik onder de verantwoordelijkheid van een gebruiker zelf, die helaas nogal eens niet de moeite neemt om voor gebruik van een applicatie deze door te nemen en goed in te stellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.