Java 6-gebruikers kwetsbaar door nieuw lek
Een aantal beveiligingsexperts waarschuwen dat bedrijven die niet kunnen upgraden van Java 6 op hun systemen erg kwetsbaar zijn voor aanvallen.
De laatste fix voor het verouderde Java 6 is er in april gekomen. Enkel betalende klanten kunnen nu nog een oplossing voor het lek vastkrijgen. De bug, CVE-2013-2463 wordt als kritiek aangeduid en wordt als volgt omschreven:
"Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 21 and earlier, 6 Update 45 and earlier, and 5.0 Update 45 and earlier, and OpenJDK 7, allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D."
De kwetsbaarheid kan enkel misbruikt worden door Java Web Start applications en Java Applets die ellabei in een sandbox draaien. De bug kreeg een score van 10 op 10 qua ernstigheid. Dat is een zeldzaamheid.
Timo Hirvonen, senior analist bij beveiligingsbedrijf F-secure zegt dat het probleem nog ernstiger wordt omdat een commercieel verkrijgbare exploitkit zijn voordeel doet an het lek. De Neutrino Exploitkit misbruikt kwetsbaarheden om bestanden te kunnen kidnappen op de pc –bestanden blokkeren tot er losgeld betaald wordt.
Neutrino is te huur voor ongeveer 450 dollar per maand.
Hirvonen zei ook nog: “een aanvaller kan zijn eigen code uitvoeren op een system dat besmet is met malware. Vaak gebeurt het dat je spam krijgt met een link. Klik je daarop, dan bezoek je een besmette website.”
Er zijn nog specialisten die zich zorgen maken over Java. Wolfgang Kandek, CTO van securitybedrijf Qualys gelooft dat een groot aantal gebruiker kwetsbaar zijn.
“Het is een impliciete zero-day vulnerability, want we kennen het bestaan, maar er is geen oplossing voorhanden”, zegt Kandek. “We zien dat er zeer veel Java 6 is geïnstalleerd, bij ongeveer de helft van de Javagebruikers. Dat wil zeggen dat veel bedrijven kwetbaar zijn. Bedrijven moeten updaten naar Java 7 waar mogelijk. Dat wil zeggen dat IT’ers moeten vragen bij hun leveranciers of er een mogelijkheid tot upgraden is.
Een probleem bij upgrades is dat sommige erg nodige toepassingen kunnen stuk gaan. In de plaats zouden bedrijven moeten overwegen om java applets op een whitelist te zetten van browsers die dat ondersteunen zoals Internet Explorer en Google Chrome om het risico te beperken.
Een aantal beveiligingsexperts waarschuwen dat bedrijven die niet kunnen upgraden van Java 6 op hun systemen erg kwetsbaar zijn voor aanvallen.
De laatste fix voor het verouderde Java 6 is er in april gekomen. Enkel betalende klanten kunnen nu nog een oplossing voor het lek vastkrijgen. De bug, CVE-2013-2463 wordt als kritiek aangeduid en wordt als volgt omschreven:
"Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 21 and earlier, 6 Update 45 and earlier, and 5.0 Update 45 and earlier, and OpenJDK 7, allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to 2D."
De kwetsbaarheid kan enkel misbruikt worden door Java Web Start applications en Java Applets die ellabei in een sandbox draaien. De bug kreeg een score van 10 op 10 qua ernstigheid. Dat is een zeldzaamheid.
Timo Hirvonen, senior analist bij beveiligingsbedrijf F-secure zegt dat het probleem nog ernstiger wordt omdat een commercieel verkrijgbare exploitkit zijn voordeel doet an het lek. De Neutrino Exploitkit misbruikt kwetsbaarheden om bestanden te kunnen kidnappen op de pc –bestanden blokkeren tot er losgeld betaald wordt.
Neutrino is te huur voor ongeveer 450 dollar per maand.
Hirvonen zei ook nog: “een aanvaller kan zijn eigen code uitvoeren op een system dat besmet is met malware. Vaak gebeurt het dat je spam krijgt met een link. Klik je daarop, dan bezoek je een besmette website.”
Er zijn nog specialisten die zich zorgen maken over Java. Wolfgang Kandek, CTO van securitybedrijf Qualys gelooft dat een groot aantal gebruiker kwetsbaar zijn.
“Het is een impliciete zero-day vulnerability, want we kennen het bestaan, maar er is geen oplossing voorhanden”, zegt Kandek. “We zien dat er zeer veel Java 6 is geïnstalleerd, bij ongeveer de helft van de Javagebruikers. Dat wil zeggen dat veel bedrijven kwetbaar zijn. Bedrijven moeten updaten naar Java 7 waar mogelijk. Dat wil zeggen dat IT’ers moeten vragen bij hun leveranciers of er een mogelijkheid tot upgraden is.
Een probleem bij upgrades is dat sommige erg nodige toepassingen kunnen stuk gaan. In de plaats zouden bedrijven moeten overwegen om java applets op een whitelist te zetten van browsers die dat ondersteunen zoals Internet Explorer en Google Chrome om het risico te beperken.