Auteur Topic: Groot alarm voor Java-lek op Windows, Mac en Linux (gelezen 12326 keer)

ckca · « **Gepost op:** 28 augustus 2012, 23:59:40 »

Ik wilde dit even met jullie delen.

" De beveiligingsbedrijven slaan allemaal alarm vanwege een groot gapend gat in Java waar criminelen makkelijk misbruik van kunnen maken. Het lek in de Java-software doet zich voor in vrijwel alle Java-versies inclusief de meest recente versies op zowel Windows, Mac OS X als Linux. De enige oplossing op dit moment is door Java tijdelijk uit te schakelen of van de computer te verwijderen. "

Bron:
https://www.techzine.nl/nieuws/31282/groot-alarm-voor-java-lek-op-windows-mac-en-linux.html

Moeten we dit serieus opvatten of is het een 'niet-waar'-artikel? $:-\$

SoftAid · « **Reactie #1 Gepost op:** 29 augustus 2012, 14:41:34 »

Hallo ckca,

bedankt voor het melden

Ik heb deze problematiek ook gezien op andere sites, en we moeten hier zeker rekening mee houden.

Groeten,

SoftAid

SoftAid · « **Reactie #2 Gepost op:** 30 augustus 2012, 14:54:01 »

30/08/2012 Java-aanvallen via twee nieuwe lekken

Bij de huidige aanvallen tegen Java-gebruikers worden niet één, maar twee voorheen onbekende beveiligingslekken
gebruikt. Onderzoekers van beveiligingsbedrijf Immunity analyseerden de Java-exploit en ontdekten dat er twee
kwetsbaarheden in de software, die op 70% van alle computers is geïnstalleerd.
"Het mooie van deze lekken is dat ze 100% betrouwbaarheid bieden en multiplatform zijn. Daarom zal het snel het Zwitserse zakmes voor penetratietests van de komende jaren worden", aldus Esteban Guillardoy.

"Er zijn twee verschillende zero-day kwetsbaarheden in deze exploit gebruikt: één wordt gebruikt om een referentie naar de sun.awt.SunToolkitclass te krijgen en de ander wordt gebruikt om de public getField methode voor die klasse aan te roepen. De exploit gebruikt de java.beans.Expression wat een java.beans.Statement subclass is. Er zijn twee Expression instances die worden gebruikt om deze twee verschillende bugs te triggeren", stelt Guillardoy in zijn analyse. Eén van de kwetsbaarheden zou zijn geïntroduceerd in Java 7.0, die op 28 juli 2011 verscheen.

Uitschakelen
"In Java is het mogelijk om code met beperkte rechten uit te voeren, zodat een Java applet op een site geen toegang heeft tot alle bestanden op de harde schijf. De aanvallers hebben nu een beveiligingsfout gevonden in een functie waarbij is aangegeven dat Java geen rechten-controle moet uitvoeren en ze hebben een manier gevonden om deze kwetsbare functie aan te roepen", zegt Frank van Vliet, CTO van Certified Secure.

"Hiermee kunnen de aanvallers een Java applet schijven met alle toegang tot het systeem en kan het systeem dus worden geïnfecteerd met malware." Volgens Van Vliet worden er regelmatig in Java beveiligingsproblemen gevonden en wordt het op websites steeds minder gebruikt. "Het is daarom het veiligste om Java volledig uit te schakelen in de browser."

In het geval van Google Chrome wordt Java standaard geblokkeerd en moeten gebruikers via 'click to play' eerst klikken voordat een Java applet werkt. "Chrome heeft de Flash player al voorzien van een sandbox wat ervoor zorgt dat deze geen volledige toegang tot je systeem kan hebben. Het zou mooi zijn als Google hetzelfde ontwikkelt voor Java applets, zodat de beveiliging van je computer niet meer volledig afhankelijk is van de beveiligingsfouten in Java", gaat Van Vliet verder.

Gisteren werd bekend dat aanvallers via een gehackte advertentieserver malware op de website van Omroep West Nederland hebben verspreid. Volgens de Waarschuwingsdienst maakte de exploit gebruik van het nieuwe Java-lek. Aangezien Oracle nog geen update heeft uitgebracht, lopen alle bezoekers met Oracle Java versie 7 risico om besmet te zijn geraakt. Daarbij laat de Waarschuwingsdienst weten dat de malware op meer Nederlandse websites actief is.

Mozilla adviseert gebruikers om Java uit te schakelen, maar lijkt nog niet van plan om de plug-in voor alle gebruikers te blokkeren. In het verleden heeft de browserontwikkelaar dat wel gedaan.

Bron: security.nl

JeanPierre · « **Reactie #3 Gepost op:** 30 augustus 2012, 15:56:01 »

Hey SoftAid,

Wat kunnen de mensen nu het beste doen? Java verwijderen zoals ik reeds ergens gelezen heb, of bij Internetopties/Beveiliging/Aangepast niveau/Java applets uitvoeren in scripts, uitschakelen?

Of is er nog een betere oplossing?

Jean-Pierre.

SoftAid · « **Reactie #4 Gepost op:** 30 augustus 2012, 16:22:15 »

Hallo JeanPierre,

Uitschakelen van Java in je browser zou voldoende moeten zijn.
Chrome gebruikers kunnen Java laten aanstaan, maar moeten dan wel voorzichtig zijn bij het geven van toestemming voor het gebruik van Java waar Chrome hun, indien nodig voor die applet, om zal vragen.

Citaat

In het geval van Google Chrome wordt Java standaard geblokkeerd en moeten gebruikers via 'click to play' eerst klikken voordat een Java applet werkt.

Groeten,

SoftAid

JeanPierre · « **Reactie #5 Gepost op:** 30 augustus 2012, 16:49:01 »

Citaat van: JeanPierre op 30 augustus 2012, 15:56:01

Internetopties/Beveiliging/Aangepast niveau/Java applets uitvoeren in scripts, uitschakelen?

Is het hierbovenstaande dan voldoende, of zie ik nog iets over het hoofd?

Jean-Pierre.

SoftAid · « **Reactie #6 Gepost op:** 30 augustus 2012, 17:32:14 »

Hallo JeanPierre,

dat zou voldoende moeten zijn, maar verget niet deze instelling ook toe te passen op "Vertrouwde websites"...

Die instellingsroosters zijn zo komplex dat ik het een schande vindt dat men hier niet meer (of betere ) uitleg bij geeft

Op deze manier kunnen ze altijd de schuld bij de gebruiker leggen, want je ziet door het bos de bomen niet meer.

Groeten,

SoftAid

SoftAid · « **Reactie #7 Gepost op:** 31 augustus 2012, 19:33:57 »

Bron ZDNet

Oracle brengt beveiligingsupdate voor Java
Lekken dichten
31 augustus 2012 | Rachel King, ZDNet.com

Citaat

Oracle heeft een beveiligingsupdate uitgebracht die verschillende kwetsbaarheden in Java voor desktop browsers moet verhelpen. De update kwam er na verschillende externe rapporten van beveiligingsbedrijven die waarschuwden voor een beveiligingslek in Java.

De kwetsbaarheden kunnen misbruikt worden om persoonlijke gegevens te ontfutselen en toegang te krijgen tot de pc van het slachtoffer.

Eric Maurice, verantwoordelijke voor de softwarebeveiliging bij Oracle, zei in een blogpost dat gebruikers de update best zo snel mogelijk uitvoeren, omdat veel technische details, gerelateerd aan de kwetsbaarheden, al wijdverspreid zijn op het internet.

Oracle benadrukt dat het enkel gaat om mogelijk gevaar bij Java voor desktop browsers. Bij Java desktopapplicaties of servers waar Java op draait, zijn geen beveiligingsproblemen.

ckca · « **Reactie #8 Gepost op:** 31 augustus 2012, 20:49:09 »

Hoelang moeten we nu nog wachten voordat Java veilig te gebruiken is? Ik heb alvast al de programma uitgeschakeld

@SoftAid

Moet ik nu Java updaten zodate de beveiligingsupdate van kracht is?

KAPE · « **Reactie #9 Gepost op:** 31 augustus 2012, 20:56:09 »

Slechts enkele uren nadat Oracle een spoedpatch uitgebracht voor kritieke gaten in Java, ontdekten onderzoekers een nieuwe ernstige kwetsbaarheid.

Meer werk aan de winkel voor Oracle. De nieuwste patch voor een zeer gevaarlijk Java-gat was nog geen paar uur oud, of er blijkt een nieuw gat in te zitten. Dat ontdekte het Poolse Security Explorations, meldt de IDG News Service. Het securityconcern heeft de kwetsbaarheid meteen aan Oracle doorgegeven maar geeft vanwege responsible disclosure geen details over het lek.
Ontsnappen uit sandbox

Wel is duidelijk dat de nieuwe proof-of-concept exploit eveneens uit de zandbak kan ontsnappen en willekeurige code op een systeem kan uitvoeren.

Eerder deze week ontstond er een golf aan kwaadaardige exploits nadat een ernstig gat in Java bekend werd. Met de kwetsbaarheid kan een malicieuze Java-applet in de browser zelf, zonder dat de gebruiker iets doet of ziet, de permissies uitbreiden en daardoor code op het systeem uitvoeren. Er verschenen exploits voor zowel Windows als Mac en Linux.
Patch blijkt zelf lek

Onverwachts kwam Oracle met een spoedpatch, die het ene lek dicht, maar blijkbaar allesbehalve waterdicht is.

De patch heeft namelijk alleen de misbruikte aanvalsvector afgesneden, maar de onderliggende kwestbaarheid in Java bestaat nog steeds, constateert Adam Gowdiak van Security Explorations.

Het advies blijft dan ook onveranderd: deïnstalleer Java, tenzij je het echt nodig hebt.

Bron : Webwereld.nl

KAPE

nero1

Is hier nog iets nieuws van bekend?

Hebben de anti- spy/virus programma's al een oplossing?

Onlangs nog logje (txt-bestand) van java (na vastlopen filmpje you-tube en heropstarten IE met herstelling van tabbladen) op bureaublad gezien (stomweg weggeklikt

).

Van wat ik op de site van "de telegraaf" kan lezen (artikel wo 26 sept) is er een "nieuw" lek ontdekt

"Java is een platform om apps te kunnen maken": apps, ik wil geen apps... gewoon simpele software is voor mij voldoende

SoftAid

https://www.zdnet.com/blog/bott/how-big-a-security-risk-is-java-can-you-really-quit-using-it/4749

Gebruikers van Google Chrome kunnen in de tussentijd, tot er een volwaardige oplossing is, Java toepassing in een deel van de programma's uitschakelen via Instellingen (Sleuteltje), Geavanceerde instellingen, Instellingen voor Inhoud, Plug-ins, Vinkje bij "Klikken om te spelen" (geeft je al een zekere controle).
"Afzonderlijke plugins Uitschakelen" geeft je de mogelijkheid om die JAVA-plugins die je echt niet gebruikt of nodig hebt uit te schakelen.

Zoek alternatieve programma's als de programma's die je veel gebruikt Java nodig hebben.

Veel populaire spellen zoals Runescape en Minecraft werken enkel als Java is ingeschakeld voor deze games.
Andere bekende toepassingen die Java nodig hebben:
Xmind brainstorming and mind-mapping software
Adobe Creative Suite 5.5
Jaikoz Audio Tagger
Screenr
Wuala
Vuze
VPN (Client)
Open Office org
Enzovoort....

De volgende Security Patch van Oracle komt uit op 18 Oktober.

SoftAid

nero1

Dag SoftAid,

gelezen... maar ik blijf mij afvragen waarom mijn eset antivirus/antispyware suite de mogelijke "schadelijke" code niet kan onderscheppen (of op z'n minst de uitvoering van die schadelijke code tegenwerken), terwijl die "suite", "onschadelijke" code/zip/rar wel tegen wil houden

ik ben al geen fan van plugins, maare zelfs bij SRWare Iron (de browser die ik het meest gebruik),was java blijkbaar ingeschakeld.

Werkwijze om bij SRWare Iron (Google chrome afgeleide, zonder google invloed)
- klik op "soort van" sleuteltje (naast ster)
- opties
- geavanceerde opties
- instellingen voor inhoud
- javascript --> niet toestaan
- uitzonderingen --> hostnaam toevoegen --> toestaan/blokkeren

Enne yep ik ben ook 1 van die grafische "adobe" echt nodig hebbende "nerds"

Ik zal dus nog ff blijven volgen, tot er een "echte" oplossing is, als die er ooit nog komt

grtjs

JeanPierre · « **Reactie #13 Gepost op:** 23 oktober 2012, 08:43:47 »

Ik krijg de laatste dagen een melding voor een Java update, is het aan te raden die te instaleren of laat ik hem terzijde.

Jean-Pierre.

SoftAid · « **Reactie #14 Gepost op:** 23 oktober 2012, 09:32:57 »

Hallo JeanPierre,

ik kreeg de laatste dagen klachten over de update 9 van Java 7, PC werd veel trager.

Nu, ik zie de bomen niet meer door het bos, met al die waarschuwingen dat Java of Javascript gevaarlijk is om spyware binnen te laten, of dat het nodig is of niet, of dat er alternatieve plugins zijn. Niet mijn ding....

Installeer het anders, maar maak eerst een herstelpunt. Zie je een verslechtering, dan kan je nog steeds terug naar je herstelpunt.

Groeten,

SoftAid

Help!

Menu

Hulp bij posten

Zoeken

Recente topics