Tweet

0

Sun repareert gevaarlijke lekken in Java-motor

Oudere versies op pc laten achterdeur open

Sun heeft vorige week acht beveiligingslekken gerepareerd in Java Development Kit (JDK) en Java Runtime Environment (JRE), de software die nodig is om Java-programma's te kunnen draaien.

De diverse lekken brengen allerlei risico's mee zoals overname van het systeem, denial of service (DoS), diefstal van vertrouwelijke gegevens of een buffer overflow. Volgens Sun gebruikt zo'n negentig procent van de desktops Java, wat betekent dat miljoenen gebruikers risico lopen zolang ze niet upgraden.

De nieuwe versies die respijt bieden zijn: JDK en JRE 6 update 7; JDK en JRE 5.0 update 16; SDK en JRE 1.4.2_18; en SDK en JRE 1.3.1_23. Ze worden automatisch uitgedeeld via Java Update Scheduler of zijn te downloaden via het Java-controlepanel of de website van Sun. Gebruikers kunnen het best updaten naar JRE 6, (eigenlijk 1.6) de recentste versie.

Oudere versies
Een van de lekken stelt aanvallers in staat om oudere Java-versies, die nog aanwezig zijn op een al geüpdatete pc, te misbruiken. Zo'n twee jaar geleden kwam Sun al met een patch om deze route af te snijden. NGSSoftware-onderzoeker John Heasman heeft de beveiliging echter weten te omzeilen. Hij ontwikkelde een exploit waarmee oudere Java-versies alsnog kunnen worden uitgevoerd en misbruikt. Een nieuwe patch moet dit voortaan voorkomen.

Gebruikers wordt tevens geadviseerd om oudere versies van de software zelf van hun systeem te verwijderen. De installatieprogramma's van Java doen dat namelijk niet automatisch, wat Sun al op veel kritiek van beveiligers is komen te staan. Heasman zal zijn exploit volgende maand demonstreren tijdens de Black Hat-conferentie in Las Vegas.

bron: ZDNet