De bug zit in de Java Deployment Toolkit. Dat is een default geïnstalleerde plugin, waarmee ontwikkelaars hun applicaties makkelijk naar gebruikers kunnen distribueren. Maar de parameters van de URL’s waarmee dat gebeurt worden niet goed gecontroleerd, waardoor aanvallers die functionaliteit kunnen uitbuiten.

Alle versies

De fout, die in alle versies van Java sinds Java SE6 update 10 zit, is openbaar gemaakt door Tavis Ormandy. Het gemak waarmee deze fout kan worden gevonden, heeft hem ervan overtuigd dat ‘full disclosure’ het beste was voor iedereen, behalve voor Sun”, schrijft hij.

Hij heeft Sun wel op de hoogte gebracht, maar Sun liet weten dat ze de bug niet ernstig genoeg vonden om er een extra update voor uit te brengen. Daar was Ormandy het duidelijk niet mee eens, waarna hij de openbaarheid koos. Vervolgens bleek dat ook Ruben Santamarta de fout had ontdekt.

Javocalypse

Ormandy geeft wel toe dat de toolkit niet heel veel wordt ingezet, maar als je toch denkt dat je gebruikers gevaar lopen kun je een killbit inzetten voor IE-gebruikers. Gebruikers van Firefox moeten ervan weerhouden worden om npdeploytk.dll te benaderen, door middel van File System ACLs.

Julien Tinnes gaat wat verder dan Ormandy en Santamarta. Hij noemt deze bug op zijn blog een regelrechte ‘Javocalypse’. Hij adviseert dan ook dat iedereen Java uitschakelt in zijn browsers en Java zelfs helemaal de-installeert.

Hoewel Java cross-platform is en Linux-machines ook de kwetsbare code bevatten, gaat men er vanuit dat Linux niet kwetsbaar is.

Bron: Techworld.nl