Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Gerichte aanvallen op nieuw Java-lek ontdekt

zondag 12 juli 2015, 10:38 door Redactie, 10 reacties

Het Japanse anti-virusbedrijf Trend Mico waarschuwt voor een nieuw en kritiek lek in Java waar nog geen update van Oracle voor beschikbaar is en dat bij aanvallen tegen een Amerikaanse defensieorganisatie en NAVO-lid is ingezet. Volgens de virusbestrijder gaat het om gerichte aanvallen.

Dat zou inhouden dat de kwetsbaarheid nog niet op grote schaal wordt gebruikt om thuisgebruikers met malware te infecteren. Voor het aanvallen van de doelwitten gebruiken de aanvallers e-mails met daarin een link. De links die de aanvallers gebruiken lijken op de links die eerder bij aanvallen tegen NAVO-leden en het Witte Huis werden ingezet, zo stelt analist Brooks Li. In dit geval werden de links aangetroffen in de e-mails naar een Amerikaanse defensieorganisatie en een specifiek NAVO-lid, maar om wie het precies gaat wil het anti-virusbedrijf niet zeggen. De link wijst naar een pagina die van het Java-lek gebruik probeert te maken. In het geval de aanval succesvol is wordt er malware op de computer geplaatst.

Kwetsbaar

De kwetsbaarheid is aanwezig in de meest recente Oracle Java-versie, namelijk Java 8 update 45. Oudere versies van Java, namelijk 6 en 7, zijn niet kwetsbaar. Oracle zou inmiddels zijn ingelicht. In afwachting van een update kunnen gebruikers Java in hun browser uitschakelen of van het systeem verwijderen. Een aantal jaren geleden werden er regelmatig zogeheten zero day-lekken in Java aangetroffen en aangevallen waarvoor geen update beschikbaar was. Volgens Trend Micro is het bijna twee jaar sinds de laatste zero day in Java werd gemeld.

Fotografe slachtoffer van identiteitsfraude via Marktplaats
Politie: geen interesse in software HackingTeam
Reacties (10)
12-07-2015, 11:27 door Anoniem
"Een aantal jaren geleden werden er regelmatig zogeheten zero day-lekken in Java aangetroffen en aangevallen waarvoor geen update beschikbaar was. Volgens Trend Micro is het bijna twee jaar sinds de laatste zero day in Java werd gemeld."

Ik denk dat in die tijd het leeuwendeel van de gebruikers die niet op de een of andere manier vast zat aan Java en die het
alleen maar geinstalleerd had omdat dit op websites soms gebruikt werd, Java verwijderd heeft en er nooit meer naar heeft
omgekeken.

Dan is het ook niet interessant meer om naar lekken te zoeken. Zo zal het met Flash ook gaan neem ik aan.
12-07-2015, 11:33 door Anoniem
Flinterdun verhaaltje waarvan je nergens een bevestiging vind. Dus ik moet nog zien dat dit bevestigt word.
12-07-2015, 12:36 door [Account Verwijderd] - Bijgewerkt: 12-07-2015, 12:36
[Verwijderd]
12-07-2015, 13:16 door Anoniem
Door Anoniem: "Een aantal jaren geleden werden er regelmatig zogeheten zero day-lekken in Java aangetroffen en aangevallen waarvoor geen update beschikbaar was. Volgens Trend Micro is het bijna twee jaar sinds de laatste zero day in Java werd gemeld."

Ze hebben hun zaakjes dus gewoon goed oporde tegenwoordig!

Door Anoniem:
Ik denk dat in die tijd het leeuwendeel van de gebruikers die niet op de een of andere manier vast zat aan Java en die het
alleen maar geinstalleerd had omdat dit op websites soms gebruikt werd, Java verwijderd heeft en er nooit meer naar heeft
omgekeken.

Dan is het ook niet interessant meer om naar lekken te zoeken. Zo zal het met Flash ook gaan neem ik aan.

Leuk verhaaltje maarre klinkendeklare onzin!

"97% of Enterprise Desktops Run Java
89% of Desktops (or Computers) in the U.S. Run Java"

Bij bijna alle bedrijven en bij 9 opde 10 thuis gebruikers staat Java opde computer! Op me computer staat het ook en nooit problemen! Gewoon altijd goed bijwerken zoals metalles.
12-07-2015, 14:38 door Anoniem
Elk nadeel hep ze ...

Dan pakt in dit geval het nadeel voor een keer uit als een voordeel!
Veel gebruikers lopen zwaar achter met patchen en upgraden en zitten dus nog (kuch) 'fijn' op Java 6 en Java 7.

79% liep achter in april!
https://plumbr.eu/blog/java/java-version-statistics-2015-edition

Zoeken naar zero days en ze inzetten spreekt natuurlijk tot de verbeelding, het inzetten van social engineering in combinatie met misbruik van oude lekken is veel efficiënter.

Deze Java zero day aanpak is dus wat tegen de trend in, maar blijft een goed bewijs dat misbruik van Java interessant is omdat het een krachtig middel blijft om malware code op een systeem erdoor te drukken.

Vraag maar aan een willekeurige doorsnee gebruiker wat Java is; weten velen nog steeds niet!
Goede kans (onderschreven door de cijfers) dat dus ook de oude java versies niet worden gepatcht, totdat er pas een nieuw systeem wordt aangeschaft.

Nu de focus op flash ligt, zou er best wel weer een retro kentering kunnen komen, wie het eerste goed toeslaat pakt de ook grootste winst!

Oracle-Yahoo-Java, het blijft een niet te onderschatten zorgenkindje voor particuliere gebruikers.
12-07-2015, 19:28 door Anoniem
Door Anoniem:
Bij bijna alle bedrijven en bij 9 opde 10 thuis gebruikers staat Java opde computer! Op me computer staat het ook en nooit problemen! Gewoon altijd goed bijwerken zoals metalles.

Tuurlijk jochie! Als je het artikel goed gelezen hebt dan zie je dat je juist problemen hebt als je het altijd bijwerkt, terwijl
die slimme mensen die het gewoon geremoved hebben van alle ellende af zijn.

En met cijfertjes gooien dat is wel populair onder de "marktvorsers" maar realiteit is het uiteraard niet wat ze daar
schrijven. Java is overbodige crap die alleen op computers staat waar het opgezet is door de leverancier, of waar
de typisch inferieure software pakketten op draaien die geschreven zijn door programmeurs van hetzelfde nivo als
degenen die PHP programma's maken. Beter maar niet gebruiken, dat scheelt je een hoop ellende!
12-07-2015, 20:55 door Anoniem
Door Anoniem:
Bij bijna alle bedrijven en bij 9 opde 10 thuis gebruikers staat Java opde computer! Op me computer staat het ook en nooit problemen! Gewoon altijd goed bijwerken zoals metalles.

Ik meende dat het bijna de helft was die geen Java runtime meer op zijn desktop had, maar goed. Zonder Java kun je prima uit de voeten. Hoog tijd om die hype achter ons te laten.
13-07-2015, 10:15 door Anoniem
Voor mij geen Java, al jaren niet meer.
13-07-2015, 20:41 door Anoniem
Door Anoniem:
Door Anoniem:
Bij bijna alle bedrijven en bij 9 opde 10 thuis gebruikers staat Java opde computer! Op me computer staat het ook en nooit problemen! Gewoon altijd goed bijwerken zoals metalles.

Tuurlijk jochie! Als je het artikel goed gelezen hebt dan zie je dat je juist problemen hebt als je het altijd bijwerkt, terwijl
die slimme mensen die het gewoon geremoved hebben van alle ellende af zijn.

En met cijfertjes gooien dat is wel populair onder de "marktvorsers" maar realiteit is het uiteraard niet wat ze daar
schrijven. Java is overbodige crap die alleen op computers staat waar het opgezet is door de leverancier, of waar
de typisch inferieure software pakketten op draaien die geschreven zijn door programmeurs van hetzelfde nivo als
degenen die PHP programma's maken. Beter maar niet gebruiken, dat scheelt je een hoop ellende!

Kortzichtige reactie. Stel Java zo in dat het niet gebruikt wordt binnen een browser en je hebt er geen greintje last van. En ja, er worden programma's geschreven in Java die op een dergelijke manier prima presteren.
14-07-2015, 21:07 door Anoniem
In Java update 8u51 (14/07/2015) is dit waarschijnlijk verholpen:

http://www.oracle.com/technetwork/java/javase/downloads/index.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Image

Security-engineer IAM

Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.

Lees meer

Heb jij een Hacker Mindset?

4 reacties
Aantal stemmen: 283
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter