Java-patch faalt in dichten kritiek gat

**tokoroko** · 14-03-2016, 10:55:14

Java-patch faalt in dichten kritiek gat

Kwetsbaarheid uit 2013 nog altijd te misbruiken.

Een beveiligingsonderzoeker maakt een kwetsbaarheid openbaar in Java die reeds gedicht zou zijn, maar de patch blijkt nauwelijks bescherming te bieden.

Oracle gaf twee jaar geleden een patch uit voor dit gat, maar die lost het basisprobleem niet op. Met een minimale wijziging kon een Poolse beveiligingsonderzoeker de kwetsbaarheid daarom opnieuw toepassen in een exploit.

Het gat is niet opnieuw gepatcht, daar de onderzoekers het gat meteen op straat gooien wegens een beleid dat er direct disclosure volgt als het gaat om een schijnbaar gedicht lek.

Het originele gat, CVE-2013-5838, is een kritieke kwetsbaarheid in OpenJDK, waardoor een class spoofing-aanval kan worden uitgevoerd op de JVM. Aanvallers kunnen daarmee de Java-sandbox ontspringen en andere delen van de systemen van gebruikers aanspreken.

Thread: Java-patch faalt in dichten kritiek gat

Thread Tools

Java-patch faalt in dichten kritiek gat

Similar Threads

Oracle vergeet kritiek Java-lek bij patchronde

'Java-noodpatch bevat nieuw kritiek lek'

'Oracle weet al maanden van kritiek Java-gat'

'Kritiek zero-day lek in Java nu al misbruikt'

Nood-patch dicht kritiek gat in Firefox 10

Posting Permissions