Miljoenen Windows gebruikers lopen risico door een aanval op een vier maanden oud beveiligingslek in Java. Exploitcode die het lek misbruikt is namelijk aan hackertoolkits toegevoegd, waardoor er een toename van het aantal aanvallen wordt verwacht. De kwetsbaarheid werd eind maart door Sun via Java Update 13 en JRE 5 update 18 gepatcht. Alle versies hiervoor zijn kwetsbaar voor de exploit, die inmiddels actief wordt ingezet voor het overnemen van machines. Vorig jaar berekende het Deense Secunia dat 35% van de Windows-gebruikers een lekke Java-versie heeft geïnstalleerd.
Het lek zit in de Pack200 compressie methode, die wordt gebruikt voor het comprimeren van Jar bestanden. De methode wordt aangeroepen bij het lezen van Pack200 bestanden. De exploit creëert een Applet die op zijn beurt een speciaal geprepareerd Pack200 bestand downloadt, die vervolgens een Trojaans paard op het systeem achterlaat. De exploitcode verscheen in april op het internet, maar aanvallers zijn er nu pas in geslaagd om die aan hun exploit-toolkits toe te voegen. "Het is interessant om te zien hoe de aanvallers de publiek beschikbare exploit helemaal hebben gekopieerd, ze gebruiken zelfs dezelfde bestandsnamen", aldus Tom Ueltschi. Gebruikers hoeven alleen een gehackte of kwaadaardige website te bezoeken om besmet te raken.
Controle
Hij adviseert gebruikers en beheerders om te controleren of de meest recente versie (Update 14) is geinstalleerd en oude versies verwijderd zijn. "Vergeet ook niet zo'n handige uitbreiding als NoScript, die blootstelling voor de aanval kan beperken door alleen Java of JavaScript op vertrouwde websites toe te staan, in plaats van standaard."
Bron: Securrity.nl
Het lek zit in de Pack200 compressie methode, die wordt gebruikt voor het comprimeren van Jar bestanden. De methode wordt aangeroepen bij het lezen van Pack200 bestanden. De exploit creëert een Applet die op zijn beurt een speciaal geprepareerd Pack200 bestand downloadt, die vervolgens een Trojaans paard op het systeem achterlaat. De exploitcode verscheen in april op het internet, maar aanvallers zijn er nu pas in geslaagd om die aan hun exploit-toolkits toe te voegen. "Het is interessant om te zien hoe de aanvallers de publiek beschikbare exploit helemaal hebben gekopieerd, ze gebruiken zelfs dezelfde bestandsnamen", aldus Tom Ueltschi. Gebruikers hoeven alleen een gehackte of kwaadaardige website te bezoeken om besmet te raken.
Controle
Hij adviseert gebruikers en beheerders om te controleren of de meest recente versie (Update 14) is geinstalleerd en oude versies verwijderd zijn. "Vergeet ook niet zo'n handige uitbreiding als NoScript, die blootstelling voor de aanval kan beperken door alleen Java of JavaScript op vertrouwde websites toe te staan, in plaats van standaard."
Bron: Securrity.nl