Ernstige zwakte in Java 7

Guy Kindermans Guy Kindermans is freelance journalist bij Data News.

Een niet-gepatchte zwakke plek in Java 7 maakt de meeste …

Een niet-gepatchte zwakke plek in Java 7 maakt de meeste recente runtime omgevingen van Java 7 onveilig, aldus malwareonderzoeker FireEye.

In een blogpost beschrijft Atif Mushtaq, een onderzoeker bij FireEye, een niet gepatchte zwakheid in recente Java runtime-omgevingen (Java Runtime Environment, JRE 1.7x), die hij op zijn “testmachine met de nieuwste versie van Firefox en met de JRE 1.7 met update 6” kon misbruiken. Hij vond sporen van een voorbeeld van aanval op deze zwakte in een domein met een IP-adres dat naar Taiwan verwijst, naast een ‘commandocentrum’ voor malafide opdrachten in Singapore. Van daar uit zou blijkbaar malware worden doorgestuurd om de besmette machine op afstand te beheren (een versie van de Poison Ivy remote administration trojaan, volgens AlienVault).

Het US-CERT – het Amerikaans ‘security response’ team van de overheid – heeft een waarschuwing, waaruit blijkt dat hierdoor malafide code de Java bescherming kan omzeilen en “full privileges” kan verwerven. De malafide software kan dan buiten de ‘sandbox’ van de runtime worden gedraaid.

De zwakte wordt door securityexpert Secunia als ‘uiterst kritiek’ omschreven en zou naast de vermelde ‘build’ (1.7.0_06-b24) ook in andere versies en updates aanwezig kunnen zijn. Volgens US-CERT zijn zowel de Oracle JRE 1.7 als de OpenJDK JRE 1.7 getroffen. Naast Windows zou het misbruik ook op een Mac onder Macos X 10.7.4 met Safari 6.0 zijn gesignaleerd (hoewel de US-CERT de dato 29/8 stelt dat Apple materiaal niet is getroffen).

Oracle heeft nog geen patch voorzien voor deze zwakte, en de US-CERT stelt (de dato 29/8) “momenteel geen weet te hebben van een praktische oplossing voor dit probleem.” Er worden wel suggesties gedaan in de zin van ‘schakel de Java plug-in uit in je browser’, ‘deïnstalleer Java’ of ‘ga terug naar Java 6’. Het blad Infoworld verzamelde nog wat meer suggesties, maar geen van alle lijkt ideaal. Securityexperten adviseren Oracle niet te wachten tot de volgende normale viermaandelijkse patch-update (voorzien in oktober), maar deze zwakte zo snel mogelijk aan te pakken.

Op Black Hat 2012, de jaarlijkse conferentie van hackers en securityexperts, werd al gewaarschuwd dat Java zwakheden in toenemende mate zullen worden misbruikt voor aanvallen. Niet alleen zijn de aanvalswegen via onder meer Adobe Flash en Reader beter afgeblokt, maar tevens is er de brede verspreiding van Java en de nalatigheid van veel gebruikers om hun Java omgeving bij te werken. Een automatisch update-systeem zou hierbij helpen. Ook wordt Oracle aanbevolen om meer in te zetten op een ‘security development cycle’-aanpak, naar analogie met wat Microsoft al jaren geleden heeft opgestart (en wat tot sterke verbeteringen in Windows en Office leidde).

UPDATE: de patch vindt u HIER!

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content