Bij de huidige aanvallen tegen
Java-gebruikers worden niet één, maar twee voorheen onbekende beveiligingslekken
gebruikt. Onderzoekers van beveiligingsbedrijf Immunity analyseerden de Java-exploit en ontdekten dat er twee
kwetsbaarheden in de software, die op 70% van alle computers is geïnstalleerd.
"Het mooie van deze lekken is dat ze 100% betrouwbaarheid bieden en
multiplatform zijn. Daarom zal het snel het Zwitserse zakmes voor
penetratietests van de komende jaren worden", aldus Esteban Guillardoy.
"Er zijn twee verschillende zero-day kwetsbaarheden in deze exploit
gebruikt: één wordt gebruikt om een referentie naar de sun.awt.SunToolkitclass
te krijgen en de ander wordt gebruikt om de public getField methode voor die
klasse aan te roepen. De exploit gebruikt de java.beans.Expression wat een
java.beans.Statement subclass is. Er zijn twee Expression instances die worden
gebruikt om deze twee verschillende bugs te triggeren", stelt Guillardoy in zijn
analyse. Eén van de kwetsbaarheden zou zijn geïntroduceerd in Java 7.0, die op
28 juli 2011 verscheen.
Uitschakelen
"In Java is het mogelijk
om code met beperkte rechten uit te voeren, zodat een Java applet op een site
geen toegang heeft tot alle bestanden op de harde schijf. De aanvallers hebben
nu een beveiligingsfout gevonden in een functie waarbij is aangegeven dat Java
geen rechten-controle moet uitvoeren en ze hebben een manier gevonden om deze
kwetsbare functie aan te roepen", zegt Frank van Vliet, CTO van Certified
Secure.
"Hiermee kunnen de aanvallers een Java applet schijven met
alle toegang tot het systeem en kan het systeem dus worden geïnfecteerd met
malware." Volgens Van Vliet worden er regelmatig in Java beveiligingsproblemen
gevonden en wordt het op websites steeds minder gebruikt. "Het is daarom het
veiligste om Java volledig uit te schakelen in de browser."
In het geval
van Google Chrome wordt Java standaard geblokkeerd en moeten gebruikers via
'click to play' eerst klikken voordat een Java applet werkt. "Chrome heeft de
Flash player al voorzien van een sandbox wat ervoor zorgt dat deze geen
volledige toegang tot je systeem kan hebben. Het zou mooi zijn als Google
hetzelfde ontwikkelt voor Java applets, zodat de beveiliging van je computer
niet meer volledig afhankelijk is van de beveiligingsfouten in Java", gaat Van
Vliet verder.
Nederland
Gisteren werd bekend dat aanvallers
via een gehackte advertentieserver malware op de website van Omroep West hebben verspreid. Volgens de Waarschuwingsdienst
maakte de exploit gebruik van het nieuwe Java-lek. Aangezien Oracle nog geen
update heeft uitgebracht, lopen alle bezoekers met Oracle Java versie 7 risico
om besmet te zijn geraakt. Daarbij laat de Waarschuwingsdienst weten dat de
malware op meer Nederlandse websites actief is.
Mozilla adviseert gebruikers om Java uit te schakelen, maar lijkt nog
niet van plan om de plug-in voor alle gebruikers te blokkeren. In het verleden
heeft de browserontwikkelaar dat wel gedaan.
Bron: security.nl
