Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 46, views: 9.663 •
Bron: Oracle, submitter: DDX

Java logo (75 pix)Oracle heeft update 25 voor versie 7.0 van zowel de developmentkit als de runtime-environment van Java Standard Edition uitgebracht. Het gaat om een reguliere en geplande update, die maar liefst veertig beveiligingsproblemen moet verhelpen, die grotendeels op afstand konden worden misbruikt. Meer informatie over de beveiligingsproblemen kunnen in dit security-bulletin worden gevonden, de aankondiging voor deze uitgave ziet er als volgt uit:

June 2013 Critical Patch Update for Java SE Released

Oracle today released the June 2013 Critical Patch Update for Java SE.  This Critical Patch Update provides 40 new security fixes. 37 of these vulnerabilities are remotely exploitable without authentication.

34 of the fixes brought with this Critical Patch Update address vulnerabilities that only affect client deployments. The highest CVSS Base Score for these client-only fixes is 10.0. 

4 of the vulnerabilities fixed in this Critical Patch Update can affect client and server deployments. The most severe of these vulnerabilities has received a CVSS Base Score of 7.5. 

One of the vulnerabilities fixed in this Critical patch Update affects the Java installer and can only be exploited locally. 

Finally, one of the fixes included in this Critical Patch Update affects the Javadoc tool and the documents it creates.  Some HTML pages that were created by any 1.5 or later versions of the Javadoc tool are vulnerable to frame injection.  This means that this vulnerability (CVE-2013-1571, also known as CERT/CC VU#225657) can only be exploited through Javadoc-generated HTML files hosted on a web server.  If exploited, this vulnerability can result in granting a malicious attacker the ability to inject frames into a vulnerable web page, thus allowing the attacker to direct unsuspecting users to malicious web pages through their web browsers.  This vulnerability has received a CVSS Base Score of 4.3.  With the release of this Critical Patch Update, Oracle has fixed the Javadoc tool so that it doesn’t produce vulnerable pages anymore, and additionally produced a utility, the “Java API Documentation Updater Tool,” to fix previously produced (and vulnerable) HTML files.  More information about this vulnerability is available on the CERT/CC web site at http://www.kb.cert.org/vuls/id/225657

Oracle recommends that this Critical Patch Update be applied as soon as possible because it includes fixes for a number of severe vulnerabilities.  Note that the vulnerabilities fixed in this Critical Patch Update affect various components and, as a result, may not affect the security posture of all Java users in the same way. 

Desktop users can leverage the Java Autoupdate or visit Java.com to ensure that they are running the most recent version.  As a reminder, security fixes delivered through the Critical Patch Update for Java SE are cumulative: in other words, running the most recent version of Java provides users with the protection resulting from all previously-released security fixes.

Oracle Java screenshot

Versienummer:7 update 25
Releasestatus:Final
Besturingssystemen:OS X, Solaris, Linux, Windows 8, Windows Server 2012, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP, Windows 7
Website:Oracle
Download:http://www.oracle.com/technetwork/java/javase/7u25-relnotes-1955741.html
Bestandsgroottes:14,90MB t/m 50,90MB
Licentietype:Freeware

Reacties (46)

"Update provides 40 new security fixes. 37 of these vulnerabilities are remotely exploitable without authentication."

WTF

Serieus, probeer iedereen dit te laten uninstallen, aangezien vrijwel niemand deze software meer nodig heeft. Kom nog geregeld 10 oude installaties tegen. Als de gebruiker Firefox gebruikt blokkeert die gelukkig erg oude plugins wel, maar ook de zeer courante versies zitten dus echt vol beveiligingsfouten.

Gooi dit snel van je pc af, tenzij je het echt nodig hebt. Anders alleen activeren in een losse browser die je alleen voor die ene legacy applicatie gebruikt en niet voor gewoon surfen.
Wat -1?
Java uninstallen is gewoon een prima advies! Het is nou eenmaal gewoon een bron van (virus) ellende en als je het niet nodig hebt dan is het gewoon verstandig om het niet op je pc te hebben staan...
Dat is Windows ook. Ook maar uninstallen? Nee, je blijft het gebruiken en Microsoft blijft het patchen. Net als alle andere goede software leveranciers.
Windows was heel erg virusgevoelig, maar vanaf Windows 7 is het vrij veilig. Ook zonder anti-virus software! Je moet alleen niet in phishing vallen trappen...
Windows 7 is nog steeds virusgevoelig. Waarom dacht je dat er nog Antivirus software gemaakt wordt - of acht je dit overbodig?

Uiteraard moet je bij alles uitkijken wat je doet maar dat is in real-life niet anders. Voordat je de straat oversteekt moet je ook uitkijken!

Zelfs Microsoft raadt je nog steeds aan Antivirus software te draaien (getuige het onderhoudscentrum in Windows XP, Vista, 7 en nog steeds in 8). Daarbij, Microsoft heeft zelfs zijn eigen Antivirus suite. Ik begrijp dan ook niet hoe je kan zeggen dat Windows vanaf versie 7 vrij veilig is (en dat zelfs zonder Antivirus software).

Overigens wil ik niet zeggen dat alle inspanningen van Microsoft om de veiligheid te verhogen helemaal voor niets zijn. Echter is het wel zo dat Malware/virusmakkers hier altijd om heen zullen (proberen te) werken.
Antivirus makers lopen altijd achter de feiten aan. MS weet beter hoe Windows in elkaar steekt dan een AV maker, en eventuele zwakheden kunnen dan ook beter door MS structureel gefixt worden dan dat een AV maker er een lapmiddel voor maakt.

Je moet je OS wel up toe date houden, dat is erg belangrijk! Maar er is niks dat je beschermt tegen zero day exploits, MS niet maar ook de beste AV bakker niet.

Windows XP en de 16 bits Windows versies waren zo lek als een mandje. Daar had een AV pakket toegevoegde waarde. Maar vanaf Windows 7 is het OS veilig en stabiel.

De reden dat MS adviseert om een AV pakket te draaien is om claims te voorkomen. Zelfs Apple adviseert een AV pakket te gebruiken op de server versies van OS X; anders zou het kunnen gebeuren dan OS X een virus doorgeeft aan een Windows (XP) computer die vatbaar is voor dat virus. Alles om hoge schadeclaims te voorkomen!

MS Security Essentials maakt onderdeel uit van de Windows beveiliging, en vangt virussen af, maar het gros van de virussen die afgevangen worden, kunnen onder Windows 7 geen kwaad.

OS X heeft ook een soort security essentials ingebouwd. Pogingen om buiten de normale wegen om processen te starten of geheugenadressen of bestanden te manipuleren worden zo afgevangen.

Deze basisbeveiligingen brengen de veiligheid van moderne OS-en op een zeer hoog niveau.

Ben je veiliger af met een AV pakket op OS X of Windows 7+? Nee, sterker nog, je waant jezelf waarschijnlijk veilig, waardoor je minder goed oplet en zo in een phishing val trapt of op bedenkelijke sites een zero day virus oploopt.
Ho, wacht even. Ik bedoelde niet te zeggen dat je met antivirus software veilig bent. Ik bedoelde te zeggen dat je veiliger zit als zonder. Ook met antivirus software moet je je ogen open houden en alert blijven.

Trouwens wat je over huidige virussen die eigenlijk onder Windows 7 geen kwaad kunnen, is natuurlijk niet helemaal waar. Tuurlijk heb je een hoop oude virussen/malware die niet goed functioneren onder Windows 7. Nieuwe malware/virussen werken echter net zo goed op Windows Vista/7/8 als op oudere versies van Windows (2000/XP).

Waan jezelf niet veilig omdat je Windows 7. Ook Windows 7 heeft de nodige bugs en security leaks - waarvan het merendeel ongetwijfeld nog niet eens ontdekt is.
Ben je veiliger af met een AV pakket op OS X of Windows 7+? Nee,
Hierin verschillen we kennelijk van mening :) Ik zou hier dan graag een bron van willen zien waaruit blijkt dat AV software overbodig is op Windows 7+.
Windows 7 is nog steeds virusgevoelig. Waarom dacht je dat er nog Antivirus software gemaakt wordt
Dat zullen ze altijd blijven doen, zelfs wanneer het daadwerkelijk niet meer nodig is (ik zeg niet dat het nu al zover is). Het zit er bij de mensen zo ingeramd dat ze zo'n pakket op de computer nodig hebben dus de mensen blijven die antivirusprogramma's wel installeren. Net zoals velen nu ook al doen met de vele overbodige en nauwelijks werkende system tuner-achtige tools.

Buiten dat zal antivirus software sowieso gemaakt blijven worden want vele computers draaien nog op een oud en dus onveiliger Windows systeem.
Beter achteraf merken dat er iets aan de hand is, dan het nooit merken en je hele hebben en houden op straat ligt. Of je computer functioneerd als onderdeel van een botnet.

Ik ben van mening dat een AV pakket altijd nodig zal zijn. Geen enkel OS is bugvrij en er zijn altijd manieren om bepaalde doelen te bereiken die voor de massa niet gunstig zijn.
Elk OS zit ook vol beveiligingsfouten.
Maar onderbouw nu eens wat je duidelijk wil maken? geen computers meer gebruiken?
Je reactie slaat nergens op. Je gebruikt geen computer zonder OS. Daarentegen hebben veel mensen tegenwoordig zelden Java nodig. Ik tref regelmatig mensen die nog oude Java versies ge´nstalleerd hebben staan, updates weg blijven klikken of uitschakelen, en de software die Java vereiste al lang niet meer gebruiken. Die mensen hebben er baat bij dat het gede´nstalleerd wordt, of tenminste de browserplugins worden uitgeschakeld, natuurlijk nadat je checkt of het mogelijk gebruikt wordt.

Oracle gaf erg laat aandacht aan Java exploits, en geeft zelfs nu nog niet de indruk ze erg serieus te nemen door aan te kondigen slechts elke kwartaal een update uit te willen brengen. Een plan waar ze zich vanaf het begin niet aan hebben kunnen houden, met tegenzin en onder druk van de publieke opinie. Tel daarbij op die 'optionele' Ask.com toolbar in de updater, en je kunt je afvragen of ze wel het beste met je voor hebben.
Java wordt veel gebruikt en steeds meer in opkomst.
o.a. kan je Applicaties mee bouwen voor Android.

Windows zit ook vol exploits dus als je gaat klagen over veiligheid van Java kan je beter eerst windows zelf onder de loep nemen want het blijkt dat virussen nog telkens te eenvoudig binnen dringen.
heb je ook nog Flash op je pc staan?
"Update provides 40 new security fixes. 37 of these vulnerabilities are remotely exploitable without authentication."

WTF

Serieus, probeer iedereen dit te laten uninstallen, aangezien vrijwel niemand deze software meer nodig heeft. Kom nog geregeld 10 oude installaties tegen. Als de gebruiker Firefox gebruikt blokkeert die gelukkig erg oude plugins wel, maar ook de zeer courante versies zitten dus echt vol beveiligingsfouten.

Gooi dit snel van je pc af, tenzij je het echt nodig hebt. Anders alleen activeren in een losse browser die je alleen voor die ene legacy applicatie gebruikt en niet voor gewoon surfen.
Helaas geld dit advies niet voor Enterprise omgevingen waar men de boel lekker op Java heeft gebouwd, het erge is ook nog dat onze Java niet geupdate KAN worden omdat dat de boel sloopt in Agile PLM...
Online installer werkt weer eens gebrekkig, dus hierbij de offline versies:

32-bit (Windows): http://javadl.sun.com/webapps/download/AutoDL?BundleId=78825

64-bit (Windows): http://javadl.sun.com/webapps/download/AutoDL?BundleId=78827
Kijk, daar hebben we wat aan. Bedankt!

Vroeger stonden dergelijke download-links nog wel eens onder het artikel. Er zal wel een dispuut zijn dat het niet mag of zo....
Ik heb java op mijn PC maar hoe dwing ik het te update ipv dat het me al dan niet ergens de komende dagen gaat lastig vallen (of kan dat alleen met de links hierboven)?

[Reactie gewijzigd door teek2 op 19 juni 2013 09:40]

Draai de Java control panel (C:\Program Files (x86)\Java\jre7\bin\javacpl.exe), "Update"-tab, "Update now"-knop.
Let erop dat dat alleen werkt voor Java 32-bits. De auto-updater doet niets met de 64-bits versie van Java, die je mogelijk parallel ge´nstalleerd hebt staan. Die kun je updaten door de 64-bits installer te draaien.

Je kunt overigens overwegen de 64-bits versie te de´nstalleren en alleen de 32-bits versie te houden. De 64-bits versie is eigenlijk alleen relevant als je Java applicaties draait die baat hebben bij meer dan 4GB RAM, zoals bijv. Minecraft.
@BramT Ik weet niet welke versie van java je gebruikt maar sind een flink aantal releases heb ik geen update tab/update knop in javacpl. (public jre van de jdk7.25 x64).
@BramT Ik weet niet welke versie van java je gebruikt maar sind een flink aantal releases heb ik geen update tab/update knop in javacpl. (public jre van de jdk7.25 x64).
Zelfs deze nieuwe versie 25 heeft de 32-bits versie een tabblad update in het cpl waar je kunt aanvinken of je automatische updates wilt of niet.
Maar installeer je daarna ook de 64-bits versie dan verdwijnt dat tabblad om het cpl van deze versie er sowieso anders uitziet.
Zoals met elke software, evenals je OS is het een kwestie van goed bijhouden. Advies om de software maar te verwijderen zonder dat je goed weet waar het voor gebruikt wordt (het staat er vaak niet voor niets op), is in mijn ogen dan ook een no-go. Er zijn wel tooltjes beschikbaar die er voor zorgen dat je altijd de laatste versie geinstalleerd hebt.

Als je de moeite niet wil doen om je software up to date te houden wordt het tijd voor een typmachine :)
Door de vorige Java update kon ik PS3 media server niet meer gebuiken, hopelijk ook gefixed
Ongelooflijk deze reacties. Java is momenteel de meest gebruikte programmeertaal. Je gebruikt sowieso Java of je nu wil of niet omdat het vaak geintegreerd is in allerlei applicaties, omdat onder Windows het nu eenmaal lastig en onbetrouwbaar is om van centrale bibliotheken gebruik te maken. En ja: PS3 MediaServer is geschreven in java. Als je apart een Java virtual machine hebt geinstalleerd dan is het verstandig deze natuurlijk netjes bij te houden, net als alle andere software. Unix/Linux gebaseerde operating systemen, zoals Mac OsX, iOs, Android (wat trouwens in Java geschreven is) en Linux maken gebruik van package managers waardoor fixes van bugs in dit soort bibliotheken centraal worden geupdate voor alle applicaties die er gebruik van maken. Windows is hier weer eens het probleem.
Ook maar verwijderd op mijn laptop heb maandelijks rond de 30 virussen binnen en heb AVAST op z'n strengst ingeschakeld. krijg vaak pop-ups als ik aan het internetten ben en opeens virusje binnen krijg hoeft natuurlijk niet te betekenen dat dit door JAVA komt maar ik maak me toch zorgen er om.

Alleen mijn laptop voor school moet ik het wel er op laten ,omdat ik het nodig heb voor online toetsen.
plug in uit zetten in je browser en je bent er.
...omdat ik het nodig heb voor online toetsen
De browserplugin uitschakelen zal dan niet zo handig zijn, denk je wel?

Misschien eerder een aparte browser in een sandbox of wegwerp-VM draaien, voor die paar keer dat het echt nodig is.
Ik gebruik QuickJava
QuickJava is a Firefox extension that allows you to easily enable/disable Java, JavaScript, Images, Flash and more directly from the toolbar and/or status bar!
http://quickjavaplugin.blogspot.nl/

Helaas zie ik echter dit:
Since I do not have time to work on this problem there is a very good chance that users will not be able to use the extension after updating to FF23 when it is released.
plug in uit zetten in je browser en je bent er.
Handiger is om in het control panel bij Java te kiezen om Java uit te schakelen voor gebruik in de browser.
Denk dan ook aan andere plugins zoals Flash, Shockwave, Adobe Reader, etc.

Als je al je software up-to-date hebt hoef je je niet zo snel druk te maken. Je melding van Avast kan trouwens ook een false-positive zijn. Zeker als je de beveiliging insteld als bovengemiddeld tot streng kan dat geregeld voorkomen.

Ik herken het probleem overigens wel, maar meestal gaat het om JavaScripts die niet zulke nette taferelen uithalen. Meestal zijn die sites dan ook niet zo fris ;)

Edit: Voor de duidelijkheid wil ik nog even duidelijk maken dat JavaScript absoluut niet hetzelfde is als Java! Die twee hebben niets met elkaar te maken.
De syntaxis van JavaScript vertoont overeenkomsten met de programmeertaal Java. Omdat beide talen het meest zichtbaar zijn op en rond de browser, maar vooral door de naamgeving, worden ze vaak met elkaar verward. De gelijkenis houdt daar echter op, want JavaScript heeft inhoudelijk meer gemeen met functionele programmeertalen, het biedt prototype-gebaseerde overerving en niet, zoals Java en de meeste objectgeoriŰnteerde talen, klasse-gebaseerde overerving.
Bron: Wikipedia ;-)

edit:
Typo

[Reactie gewijzigd door LollieStick op 19 juni 2013 11:02]

Javascript is een single threaded scripttaal met gare prototyping/ducktyping en dat gecombineerd met php heb je de meest vreselijke ontwikkel omgeving die je maar kan bedenken.

Eigenlijk zou Java moeten heersen met name het een echte OOP taal is met classes.
Php is sowieso het gezwel van het internet. Alleen omdat het makkelijk te leren is en daarom een brede groep aan developers heeft wil het maar niet uitsterven.

Maar Javascript kun je ook in meerdere threads uitvoeren. Kwestie van WebWorkers gebruiken. Vereist wel een nieuwere browser.

[Reactie gewijzigd door matty___ op 19 juni 2013 11:35]

PHP is inderdaad een taal die je liever ziet gaan dan komen.

Betreft javascript en WebWorkers, dit gaat via externe bestanden. Dit vind ik eveneens een slechte implementatie van multi thread. Dit zijn juist dingen die je in een object wil kunnen vastleggen. Interval/timers zijn hierbij geen uitkomst ivm vertragen van alles.

"Since web workers are in external files, they do not have access to the following JavaScript objects:
The window object
The document object
The parent object"

Gezien ze die elementen al niet kunnen benaderen kan ik er ook niks mee.
Dat is nu precies de reden ik liever een OOP taal heb als ontwikkel omgeving, deze zijn veel beter doordacht.
Kun je deze objecten niet als parameter aan de webworker function mee geven?

Volgens mij was het ooit bedoelt om cpu intensieve acties op array etc naar een eigen thread te brengen zodat de gui lekker doorloopt en je het resultaat als callback krijgt wanneer het klaar is.
Dat is nu het hele probleem met dit soort talen, teveel workarounds om dingen voor elkaar te krijgen wat weer ten kosten van je structuur gaat.

En window of document als parameter meegeven lijkt me niet wenselijk als het afbeelding data bevat. Objecten kosten eenmaal geheugen.
Voor mijn begrip:

Ik draai Windows 8 met Firefox.
Vanwege de beveilgingsproblemen met Java heb ik Java niet geinstalleerd op dit systeem.
Draait allemaal vlekkeloos, alle websites welke ik bezoek werken prima, en de vele programma's die ik verder gebruik geven ook geen problemen door het ontbreken van Java.

Ik zie dat in Firefox wel javascript geactiveerd is. Dit is volgens mij echter iets wezelijk anders dan Java runtime.

Mijn vraag:

- is dit javascript ook onderhevig aan beveiligingsrisico's, en is het daarom verstandig om dan toch maar volledig Java te installeren en geupdate te houden, of kan ik lekker doorgaan zonder Java?
JavaScript heeft niets met Java te maken. Een up-to-date Java op je systeem maakt dan ook totaal geen verschil met JavaScript (waar ook smerige dingen mee mogelijk zijn)!
Ok, maar als ik javascript disable geeft dat direct problemen met het grootste deel van de websites.

Daar is dan dus eigenlijk geen veilige oplossing voor?
Jawel, zorgen dat je browser up-to-date is. In jouw geval dus Firefox. Het is wel mogelijk om bepaalde javascript elementen te blokkeren. Moet je even kijken naar de verschillende add-ons die er voor zijn.
Ok, ga ik doen.
Bedankt LollieStick.
Ben eerder blij dat ze bezig zijn met het fixen van deze issues. Zelf maak ik regelmatig gebruik van JRE voor proxmox en telkens voor ieder scherm dat ik een console wil openen krijg ik 3 popups of ik echt zeker weet of ik door wil gaan. En eenmalig een 4e of ik java wil runnen.
Ze gaan wel rap in de versienummering op deze manier.
17 naar 21 en daarna meteen door naar 25
(Waarbij ze even nummers overslaan omdat die niet voor security releases zijn.)
Ze hebben in maart 2013 een nieuw schema ingevoerd voor de nummering. Meer informatie over de Java nummering is te vinden op: http://www.oracle.com/tec...umber-scheme-1918258.html
Maar dan zou je toch juist zeggen +5(+1) dus van 17 naar 23 en dan door naar 29 ?
Nee echt logisch is het niet, wat is er mis met gewoon +1 (en desnoods even/oneven voor security vs nieuwe functies)

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Microsoft Apple Games Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013