Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Java-lek maakt Windows kwetsbaar

Door: | 12 april 2010 16:30

None
Apps & Software

Twee onderzoekers hebben een lek ontdekt in Java, waardoor aanvallers willekeurige code uit kunnen voeren op Windows-machines. Een regelrechte 'Javocalypse'.

De bug zit in de Java Deployment Toolkit. Dat is een default geïnstalleerde plugin, waarmee ontwikkelaars hun applicaties makkelijk naar gebruikers kunnen distribueren. Maar de parameters van de URL’s waarmee dat gebeurt worden niet goed gecontroleerd, waardoor aanvallers die functionaliteit kunnen uitbuiten.

Alle versies

De fout, die in alle versies van Java sinds Java SE6 update 10 zit, is openbaar gemaakt door Tavis Ormandy. Het gemak waarmee deze fout kan worden gevonden, heeft hem ervan overtuigd dat ‘full disclosure’ het beste was voor iedereen, behalve voor Sun”, schrijft hij.

Hij heeft Sun wel op de hoogte gebracht, maar Sun liet weten dat ze de bug niet ernstig genoeg vonden om er een extra update voor uit te brengen. Daar was Ormandy het duidelijk niet mee eens, waarna hij de openbaarheid koos. Vervolgens bleek dat ook Ruben Santamarta de fout had ontdekt.

Javocalypse

Ormandy geeft wel toe dat de toolkit niet heel veel wordt ingezet, maar als je toch denkt dat je gebruikers gevaar lopen kun je een killbit inzetten voor IE-gebruikers. Gebruikers van Firefox moeten ervan weerhouden worden om npdeploytk.dll te benaderen, door middel van File System ACLs.

Julien Tinnes gaat wat verder dan Ormandy en Santamarta. Hij noemt deze bug op zijn blog een regelrechte ‘Javocalypse’. Hij adviseert dan ook dat iedereen Java uitschakelt in zijn browsers en Java zelfs helemaal de-installeert.

Hoewel Java cross-platform is en Linux-machines ook de kwetsbare code bevatten, gaat men er vanuit dat Linux niet kwetsbaar is.

Bron: Techworld.nl

0 Reacties op: Java-lek maakt Windows kwetsbaar

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.