Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 14, views: 5.442 •
Bron: Oracle, submitter: E-Rick

Java logo (75 pix)Oracle heeft updates voor versies 6.0 en 7.0 voor zowel de developmentkit als de runtime-environment van Java Standard Edition uitgebracht. Deze updates moeten onder meer een ernstig lek in Java 7.0 dichten, waarvan eerder deze week bekend werd dat het actief misbruikt werd. Meer informatie over de beveiligingsproblemen kunnen in onderstaand security-bulletin worden gevonden.

Security Alert for CVE-2012-4681 Released

Oracle has just released Security Alert CVE-2012-4681 to address 3 distinct but related vulnerabilities and one security-in-depth issue affecting Java running in desktop browsers.  These vulnerabilities are: CVE-2012-4681, CVE-2012-1682, CVE-2012-3136, and CVE-2012-0547.  These vulnerabilities are not applicable to standalone Java desktop applications or Java running on servers, i.e. these vulnerabilities do not affect any Oracle server based software.

Vulnerabilities CVE-2012-4681, CVE-2012-1682, and CVE-2012-3136 have each received a CVSS Base Score of 10.0.  This score assumes that the affected users have administrative privileges, as is typical in Windows XP.  Vulnerability CVE-20120-0547 has received a CVSS Base Score of 0.0 because this vulnerability is not directly exploitable in typical user deployments, but Oracle has issued a security-in-depth fix for this issue as it can be used in conjunction with other vulnerabilities to significantly increase the overall impact of a successful exploit.

If successfully exploited, these vulnerabilities can provide a malicious attacker the ability to plant discretionary binaries onto the compromised system, e.g. the vulnerabilities can be exploited to install malware, including Trojans, onto the targeted system.  Note that this malware may in some instances be detected by current antivirus signatures upon its installation.

Due to the high severity of these vulnerabilities, Oracle recommends that customers apply this Security Alertas soon as possible. Furthermore, note that the technical details of these vulnerabilities are widely available on the Internet and Oracle has received external reports that these vulnerabilities are being actively exploited in the wild. For more information:

Java screenshot (481 pix)

Versienummer:6.0 update 35 / 7.0 update 7
Releasestatus:Final
Besturingssystemen:OS X, Linux AMD64, Linux, Solaris, Windows Server 2008, Windows Vista x64, Windows Vista, Windows Server 2003 x64, Windows XP x64, Windows Server 2003, Windows XP, Windows 2000, Windows 7 x64, Windows 7
Website:Oracle
Download:http://java.com/en/download/manual.jsp
Licentietype:Voorwaarden (GNU/BSD/etc.)

Reacties (14)

Dat valt me nog mee hoe snel ze het gepacht hebben :)
Er van uit gaande dat dit lek gedicht is (?) nieuws: Ongepatcht lek in Java 7 wordt actief misbruikt
Niet echt snel. Oracle was al in april ge´nformeerd over het bestaan van deze lekken. Zie bijvoorbeeld Oracle knew about critical Java flaws since April. Ze hadden dus een patch kunnen meenemen in de reguliere update van juni. Intussen doen er al verschillende exploits de ronde.
Maar wel snel nadat het nieuws over de exploits bekend werd.

Had mij niks verbaasd als ze tot de normale ronde in okober gewacht hadden dus weldegelijk snel van Oracle.
als men wacht tot respponsible disclosure is afgleopen dan ben je niet snel maar ongelooflijk traag!
Onverantwoord traag zelfs
This score assumes that the affected users have administrative privileges, as is typical in Windows XP.
Mja, daar ga je inderdaad al met Windows. Ik draai al enige tijd Windows 7 als user i.p.v. admin en moet zeggen dat dit eigenlijk prima geregeld is. Slechts bij een enkel programma en uiteraard bij installaties/updates is het nodig om via zo'n UAC scherm je admin wachtwoord in te vullen. Aan te raden dus om dit soort (en vele andere) beveiligingsrisico's te ontlopen!
Let wel: als reguliere gebruiker kan nog steeds je eigen account besmet raken. Je voorkomt wÚl dat de volledige machine besmet raakt, wat de schade flink kan beperken.
Ik zie dat beide versies (6 en 7) op mijn pc ge´nstalleerd zijn. Is het niet beter om 6 te verwijderen?
Je kan versie 6 gewoon verwijderen heb je niet meer nodig
behalve dan dat er software is, ook van Oracle zelf, die nog niet gereleased is voor Java 1.7.
bijvoorbeeld Oracle SQL Developer.
Ik zou 6 verwijderen. Word nog wel ondersteund maar versie 7 is een stuk sneller en veiliger (behalve deze lekken dan.. :P)
Waarom staat dit artikel niet op de frontpage tussen het pro nieuws? Daar werd eerst wel een artikel geplaatst over de lek. Het is wel zo netjes om daar dan neer te zetten dat het gepatchd is.
Inderdaad. Ik had 'm dan ook gesubmit als nieuwstip en niet als meuktip, juist vanwege het feit dat er eerder al een artikel over het gepatchte lek op de FP stond.
Noodpatch Oracle voor kritiek lek Java bevat nieuwe kwetsbaarheid
http://tweakers.net/nieuws/list/1346364000

Het lijkt wel een oude sok die ze aan het stoppen zijn....

edit: typo

[Reactie gewijzigd door Nico Klus op 31 augustus 2012 23:45]

Hierna werkte mijn PlayStation Media Server (PMS) niet meer. Ook niet met de laatste 1.70.1. (Windows Server 2008R2).

Op dit item kan niet meer gereageerd worden.