Gerichte aanvallen op nieuw Java-lek ontdekt
Het Japanse anti-virusbedrijf Trend Mico waarschuwt voor een nieuw en kritiek lek in Java waar nog geen update van Oracle voor beschikbaar is en dat bij aanvallen tegen een Amerikaanse defensieorganisatie en NAVO-lid is ingezet. Volgens de virusbestrijder gaat het om gerichte aanvallen.
Dat zou inhouden dat de kwetsbaarheid nog niet op grote schaal wordt gebruikt om thuisgebruikers met malware te infecteren. Voor het aanvallen van de doelwitten gebruiken de aanvallers e-mails met daarin een link. De links die de aanvallers gebruiken lijken op de links die eerder bij aanvallen tegen NAVO-leden en het Witte Huis werden ingezet, zo stelt analist Brooks Li. In dit geval werden de links aangetroffen in de e-mails naar een Amerikaanse defensieorganisatie en een specifiek NAVO-lid, maar om wie het precies gaat wil het anti-virusbedrijf niet zeggen. De link wijst naar een pagina die van het Java-lek gebruik probeert te maken. In het geval de aanval succesvol is wordt er malware op de computer geplaatst.
Kwetsbaar
De kwetsbaarheid is aanwezig in de meest recente Oracle Java-versie, namelijk Java 8 update 45. Oudere versies van Java, namelijk 6 en 7, zijn niet kwetsbaar. Oracle zou inmiddels zijn ingelicht. In afwachting van een update kunnen gebruikers Java in hun browser uitschakelen of van het systeem verwijderen. Een aantal jaren geleden werden er regelmatig zogeheten zero day-lekken in Java aangetroffen en aangevallen waarvoor geen update beschikbaar was. Volgens Trend Micro is het bijna twee jaar sinds de laatste zero day in Java werd gemeld.
Ik denk dat in die tijd het leeuwendeel van de gebruikers die niet op de een of andere manier vast zat aan Java en die het
alleen maar geinstalleerd had omdat dit op websites soms gebruikt werd, Java verwijderd heeft en er nooit meer naar heeft
omgekeken.
Dan is het ook niet interessant meer om naar lekken te zoeken. Zo zal het met Flash ook gaan neem ik aan.
Ze hebben hun zaakjes dus gewoon goed oporde tegenwoordig!
Ik denk dat in die tijd het leeuwendeel van de gebruikers die niet op de een of andere manier vast zat aan Java en die het
alleen maar geinstalleerd had omdat dit op websites soms gebruikt werd, Java verwijderd heeft en er nooit meer naar heeft
omgekeken.
Dan is het ook niet interessant meer om naar lekken te zoeken. Zo zal het met Flash ook gaan neem ik aan.
Leuk verhaaltje maarre klinkendeklare onzin!
"97% of Enterprise Desktops Run Java
89% of Desktops (or Computers) in the U.S. Run Java"
Bij bijna alle bedrijven en bij 9 opde 10 thuis gebruikers staat Java opde computer! Op me computer staat het ook en nooit problemen! Gewoon altijd goed bijwerken zoals metalles.
Dan pakt in dit geval het nadeel voor een keer uit als een voordeel!
Veel gebruikers lopen zwaar achter met patchen en upgraden en zitten dus nog (kuch) 'fijn' op Java 6 en Java 7.
79% liep achter in april!
https://plumbr.eu/blog/java/java-version-statistics-2015-edition
Zoeken naar zero days en ze inzetten spreekt natuurlijk tot de verbeelding, het inzetten van social engineering in combinatie met misbruik van oude lekken is veel efficiënter.
Deze Java zero day aanpak is dus wat tegen de trend in, maar blijft een goed bewijs dat misbruik van Java interessant is omdat het een krachtig middel blijft om malware code op een systeem erdoor te drukken.
Vraag maar aan een willekeurige doorsnee gebruiker wat Java is; weten velen nog steeds niet!
Goede kans (onderschreven door de cijfers) dat dus ook de oude java versies niet worden gepatcht, totdat er pas een nieuw systeem wordt aangeschaft.
Nu de focus op flash ligt, zou er best wel weer een retro kentering kunnen komen, wie het eerste goed toeslaat pakt de ook grootste winst!
Oracle-Yahoo-Java, het blijft een niet te onderschatten zorgenkindje voor particuliere gebruikers.
Bij bijna alle bedrijven en bij 9 opde 10 thuis gebruikers staat Java opde computer! Op me computer staat het ook en nooit problemen! Gewoon altijd goed bijwerken zoals metalles.
Tuurlijk jochie! Als je het artikel goed gelezen hebt dan zie je dat je juist problemen hebt als je het altijd bijwerkt, terwijl
die slimme mensen die het gewoon geremoved hebben van alle ellende af zijn.
En met cijfertjes gooien dat is wel populair onder de "marktvorsers" maar realiteit is het uiteraard niet wat ze daar
schrijven. Java is overbodige crap die alleen op computers staat waar het opgezet is door de leverancier, of waar
de typisch inferieure software pakketten op draaien die geschreven zijn door programmeurs van hetzelfde nivo als
degenen die PHP programma's maken. Beter maar niet gebruiken, dat scheelt je een hoop ellende!
Bij bijna alle bedrijven en bij 9 opde 10 thuis gebruikers staat Java opde computer! Op me computer staat het ook en nooit problemen! Gewoon altijd goed bijwerken zoals metalles.
Ik meende dat het bijna de helft was die geen Java runtime meer op zijn desktop had, maar goed. Zonder Java kun je prima uit de voeten. Hoog tijd om die hype achter ons te laten.
Bij bijna alle bedrijven en bij 9 opde 10 thuis gebruikers staat Java opde computer! Op me computer staat het ook en nooit problemen! Gewoon altijd goed bijwerken zoals metalles.
Tuurlijk jochie! Als je het artikel goed gelezen hebt dan zie je dat je juist problemen hebt als je het altijd bijwerkt, terwijl
die slimme mensen die het gewoon geremoved hebben van alle ellende af zijn.
En met cijfertjes gooien dat is wel populair onder de "marktvorsers" maar realiteit is het uiteraard niet wat ze daar
schrijven. Java is overbodige crap die alleen op computers staat waar het opgezet is door de leverancier, of waar
de typisch inferieure software pakketten op draaien die geschreven zijn door programmeurs van hetzelfde nivo als
degenen die PHP programma's maken. Beter maar niet gebruiken, dat scheelt je een hoop ellende!
Kortzichtige reactie. Stel Java zo in dat het niet gebruikt wordt binnen een browser en je hebt er geen greintje last van. En ja, er worden programma's geschreven in Java die op een dergelijke manier prima presteren.
http://www.oracle.com/technetwork/java/javase/downloads/index.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?