Amsterdam, 12 april 2010
Twee researchers hebben informatie over een kwetsbaarheid in Sun's Java Runtime Environment openbaar gemaakt. Deze zwakke plek zou cybercriminelen een nieuwe invalshoek kunnen verschaffen voor het uitvoeren van drive-by-downloads en het overnemen van aangevallen computers. De zwakke plek bevindt zich in alle recente versies van Windows besturingssysteem en op nagenoeg alle populaire browsers. Deze kwetsbaarheid wordt door de experts van security software producent G Data geclassificeerd als ‘uitermate kritiek’. De onderneming verwacht een golf aan aanvallen, gericht tegen computers met een Windows besturingssysteem.

Omdat Java op veel computers is geïnstalleerd, zal de interesse van de cybercriminelen voor dit lek snel opgewekt zijn. Omdat deze zwakke plek in de meeste populaire browsers kan worden uitgebuit en niet door de beveiligingsmaatregelen van Windows Vista en Windows 7 wordt tegengehouden, kan dit geval schade aan zeer veel computers aanrichten.

Bescherm uw computer hiertegen

Het uitschakelen van Java-script is niet voldoende om u tegen deze kwetsbaarheid te beschermen. Omdat het nog onduidelijk is wanneer dit lek zal worden gepatched door Sun, dienen gebruikers zelf hun instellingen te wijzigen. Voor de twee populairste browsers van het moment gaat dit op de volgende wijze:




- Voor Microsoft Internet Explorer, is het noodzakelijk om een killbit voor de ActiveX class ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA in te stellen. Een beschrijving van hoe u dit doet, vindt u hier: http://support.microsoft.com/kb/240797" onclick="window.open(this.href);return false;.

- Voor Mozilla Firefox, kunt u via het ‘Extra’ menu klikken op ‘Add-Ons’. Onder het kopje ‘Plugins’, vindt u de Java Deployment Toolkit. Deze kunt u deactiveren door op ‘Uitschakelen’ te klikken.

Achtergrond
Security researcher Tavis Ormandy heeft informatie over deze kwetsbaarheid gepubliceerd op seclist.org. De kwetsbaarheid bevindt zich in de browser plug-in Java Deployment Toolkit, die automatisch wordt geïnstalleerd met Java Runtime Environments sinds versie 6 update 10 in browsers als Microsoft Internet Explorer, Mozilla Firefox en Google Chrome. De methode launch in de toolkit maakt het aanvallers mogelijk om Java's Web Start Launcher uit te voeren met willekeurige parameters. Ormandy maakte een proof-of-concept website, die automatisch de calculator in Windows-producten opstart.

Enkele uren daarna publiceerde researcher Rubén Santamarta informatie over hoe een willekeurige remote DLL kan worden geladen. Volgens Santamarta was hij in staat om de beveiligingsmaatregelen DER en ASLR te omzeilen, aangezien de DLL rechtstreeks in het procesgeheugen van Web Start Launcher werd geladen.

Lees meer over dit onderwerp op de G Data SecurityBlog