Een lek in de virtuele machine van Java waarmee willekeurige code uitgevoerd kan worden, is al sinds december door Sun bekendgemaakt en gepatcht. Apple heeft de patch echter nog altijd niet meegenomen in Mac OS X.
Dit melden verscheidene beveiligingsexperts. Apple is tenminste één keer op de hoogte gesteld van het probleem, maar heeft nog altijd geen actie ondernomen om het lek te verhelpen.
Het beveiligingsprobleem treedt op tijdens het deserializen van bepaalde Java-objecten en leidt ertoe dat willekeurige code buiten de virtuele machine uitgevoerd kan worden met dezelfde rechten die de aangemelde gebruiker heeft. Sun werd van dit probleem in augustus 2008 op de hoogte gesteld en wist het in december datzelfde jaar te verhelpen.
Hoewel Apple recentelijk nieuwe beveiligingsupdates de deur uit heeft gedaan, is het lek nog steeds aanwezig in Mac OS X. "De meeste, andere clientsidelekken die kunnen leiden tot de uitvoer van willekeurige code, waaronder Java-lekken, zijn geheugencorruptielekken in een component dat geschreven is in native code", legt beveiligingsexpert Julien Tinnes op zijn IT-beveiligingsblog uit. "Het uitbuiten van dit soort lekekn kan heel lastig zijn."
Echter, dit lek heeft helemaal geen native code nodig, alleen Java. "Dit betekent dat je een honderd procent betrouwbare exploit in pure Java kunt schrijven", aldus Tinnes. "Deze exploit kan worden gebruikt op alle platformen, op alle architecturen en in alle browsers! Mijn voorbeeldcode is succesvol getestin Firefox, IE6, IE7, IE8, Safari en op Mac OS X, Windows, Linux en OpenBSD en zou dus overal moeten werken."
Bijna alle beveiligingsexperts zijn het erover eens dat alleen het uitschakelen van Java in de browser problemen kan voorkomen op het Mac OS X-platform, tenminste totdat Apple de patch uitbrengt. Bovendien zouden Safari-gebruikers de optie "veilige bestanden na downloaden openen" uit moeten schakelen, zodat geen andere, schadelijke code gedownload kan worden.
24 uur geleden
