Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 75, views: 24.146 •

De noodpatch die Oracle uitbracht om een lek in Java te dichten, bevat nog altijd een kritieke kwetsbaarheid waarmee kwaadwillenden de computer van een gebruiker kunnen overnemen. Het is onduidelijk wanneer Oracle het nieuwe lek dicht.

De noodpatch was juist uitgebracht om een kritiek lek in Java te dichten. De kwetsbaarheid die is gedicht maakte het mogelijk om willekeurige code uit te voeren op de computer. Bovendien zouden kwaadwillenden het lek al actief misbruiken.

Het is onduidelijk of het nieuwe lek ook al wordt misbruikt. De ontdekker van het lek, het Poolse bedrijf Security Explorations, geeft in afwachting van een reactie van Oracle geen toelichting op de ontdekking van het lek, meldt Webwereld. Details zijn wel doorgegeven aan Oracle.

Het is onduidelijk wanneer Oracle het nieuwe gat in Java zal dichten. Het oude lek zat er al maanden voordat de noodpatch deze week uitkwam. Gebruikers kunnen Java de-installeren om misbruik van het lek te voorkomen. Een update naar de nieuwste versie voorkomt in elk geval dat kwaadwillenden van het oude lek gebruik kunnen maken.

Reacties (75)

Wel ongelofelijk. 8)7 Misschien moet Oracle toch overwegen om patches meer na te kijken.

Overigens installeer ik eigenlijk bijna geen enkele PC meer java. Je kan prima zonder en is gelijk een stuk veiliger.
Er zijn nog enorm veel mensen die toch echt niet zonder kunnen. Dit weekend maak ik er bijv. gebruik van om tijdens de F1 de live timing op mijn scherm te krijgen, maar er zijn ook banken die het gebruiken in hun inlogproces.

Het is leuk als je zonder kunt, maar niet iedereen kan zonder. Weet je wat trouwens nog veiliger is? Een pc zonder besturingssysteem.
Ik kan nog altijd gewoon de harde schijf eruit schroeven en zo je gegevens stelen. Niets is "veilig".

Beveiligen betekent eigenlijk gewoon dat je probeert ervoor te zorgen dat het de moeite niet meer waard is om de beveiliging te kraken. Als mijn data 100 euro waard is voor jou en ik beveilig het zo dat je 200 euro (time=money) moet investeren om aan mijn data te geraken, dan is mijn beveiliging geslaagd. Zolang dat die data niet meer dan 200 euro waard is voor iemand zal niemand te moeite doen om de beveiliging te kraken.
Ik kan nog altijd gewoon de harde schijf eruit schroeven en zo je gegevens stelen. Niets is "veilig".
Tegenwoordig maken veel computers, in ieder geval degene met gevoelige informatie, gebruik van full-disk encryptie, zoals Bitlocker (MS) of FileVault (Apple). Dan heb je weinig aan zo'n uitgeschroefde harde schijf.
Dat is wat ie zegt....

Je kan die encryptie wel degelijk brute-forcen. Als dat echter een miljoen kost aan computer tijd en de data is maar 750.000 euro waard... Tijd komt er ook nog bij kijken overigens. Als de data alleen interessant is de komende 6 maanden, bijv. in geval van een aanslag die dan verwacht wordt en je hebt 10 jaar nodig schiet het ook niet op.
FileVault is niet zo veilig hoor :) Bitlocker is een ietsjepietsje beter maar met een klein beetje gespecialiseerde kennis kom je daar ook wel doorheen ;)
Bron?

FileVault, Bitlocker, LUKS, EcryptFS/EncFS, TrueCrypt...
Volgens mij werken ze allemaal met een key die word gedecrypt met je/een wachtwoord, en zijn ze allemaal sowieso zo slap als je wachtwoord omdat de key veel ingewikkelder is. Dat kan je beredeneren doordat je het wachtwoord kunt veranderen zonder dat alle data opnieuw versleuteld hoeft te worden.

Maar als de een toch echt "niet zo veilig" is en de ander wel, dan ben ik wel benieuwd naar een overzichtje. :)
Er zijn nog enorm veel mensen die toch echt niet zonder kunnen. Dit weekend maak ik er bijv. gebruik van om tijdens de F1 de live timing op mijn scherm te krijgen, maar er zijn ook banken die het gebruiken in hun inlogproces.
Welke bank? Verwar je niet Java met Javascript? Java lijkt me wel heel sterk, want waarom zou je voor inloggen bij de bank een applicatie buiten de browser moeten draaien?
BankID, gebruikt door bij mijn weten alle Noorse banken, vereist java (niet javascript) voor authenticatie. Het enige handige eraan is dat ik maar 1 login (persoonsnummer), 1 wachtwoord en 1 ActiveIDentity token moet hebben om in alle bank accounts te komen. Is de vraag maar in hoeverre je eraan hangt als die/je BankID gekraakt wordt ...
Deutsche Bank vereist java bijvoorbeeld (de runtime).
Meest veilig is een condoompje om je netwerkstekkertje heen: knap virus wat daar doorheen komt.
dan komt die oraal via de wifi :)
http://formula1livetiming.com/go
Geen java nodig....
Voor mijn bank ook niet nodig ...
Dus UNINSTALL... :)
En wat als je veel online winkelt?

Heb dit getest op onze webwinkel met Magento. Als je java uitschakeld blijft er niet veel meer over van Magento's functionaliteiten.
Bedoel je niet javascript, wat iets compleet anders is? :)
Je moet toegeven dat Sun wel een goede deal heeft gemaakt destijds met de makers van Javascript. Heel veel mensen verwarren die 2 terwijl ze totaal verschillende talen zijn.
Heb me daar een beetje in verdiept. I see the different now ;-) Nooit te laat om bij te leren.
Kijk dit soort reacties, daar hou ik van.

Niks geen beter weten en er tegen in gaan, gewoon even er in verdiepen en zeggen dat je fout zat. Kunnen meer mensen hier, wat van leren. +1000000~ voor BlaDeKke
Overigens installeer ik eigenlijk bijna geen enkele PC meer java. Je kan prima zonder en is gelijk een stuk veiliger.
PrivÚ misschien wel, al heb je zoals andere al aangeven genoeg redenen om het toch nog nodig te hebben.

Maar zakelijk is het vaak een groot probleem. Er is zoveel bedrijfssoftware die java gewoon nodig heeft om te functioneren. Vaak zelfs in bedrijfskritische applicaties. hoe wil je dan in godsnaam zonder java kunnen. Je kunt beter zorgen dat je algehele beveiliging up to date is dus hele keten van router, firewall etc.
Zakelijke applicaties draaien voornamelijk op de server. Daar is java uitermate voor geschikt en, in dit geval, zijn de nu bekende lekken ook niet te misbruiken voor java code die op de server draait.
Veel bedrijven die oracle gebruiken hebben Java nodig. Dus ja Java is voor veel bedrijven helaas noodzaak. Even over stappen naar een andere ERP, EBS enz systemen doe je niet 123 zeker niet als je in de afgelopen jaren miljoenen hebt gestoken in het aanpassen van de software / processen.
Zakelijke applicaties draaien voornamelijk op de server. Daar is java uitermate voor geschikt en, in dit geval, zijn de nu bekende lekken ook niet te misbruiken voor java code die op de server draait.
Het bedrijf waar m'n vriendin voor werkt moet - verplicht - een database pakket gebruiken waarvan de client alleen in Java bestaat. Er zijn wereldwijd misschien 3 bedrijven die dergelijke software maken, en alle 3 bouwen ze hun desktop software in Java. Ze zijn pas naar een ander pakket van een andere leverancier gemigreerd (kosten 40 miljoen dollar), en ook die client is in Java gebakken.

Gelukkig is er geen enkele reden om de Java plugin in je browser actief te laten, echter.

Maar dergelijke software kom je bij veel grote bedrijven tegen.
Voor thuisgebruik zal je inderdaad (veelal) zonder Java uit de voeten kunnen.

In het bedrijfsleven, onderwijs en bij de overheid zijn er echter nog talloze applicaties die gebouwd zijn op Java. Bedrijfskritische applicaties die je niet 'zomaar' vervangt. (lees: niet binnen 2 jaar).
In die gevallen zul je dus een bewuste keuze moeten maken of je Java nog gaat updaten, of blijft hangen op 1 versie die redelijk veilig is/lijkt.
Oracle snapt het niet helemaal :

Ze brengen wÚl een "nood-patch" uit maar bieden te gelijkertijd nog steeds de Ask.com toolbar aan tijdens de installatie / upgrade.

Ik bedoel; als er ÚÚn manier is om wildvreemden toegang tot je bestanden te geven is het wel door dat soort troep ...

Ben ik de enige die vindt dat dergelijke zooi standaard uitgeschakeld moet zijn zodat de gebruiker dit niet per ongeluk over het hoofd ziet ?

Wordt eens tijd dat daar een wetgeving voor komt .. Geen ellendige toolbars, geen Google Chrome en al helemaal geen gammele plugins voor Firefox ...
Ik snap jou punt. Maar de gebruiker moet zelf ook gewoon is gaan lezen wat er staat. Het is niet zo dat je het niet uit kunt vinken.

En ja, het staat er soms met rare woorden als: "Vink dit boxje uit om de installatie te stoppen" bijvoorbeeld, dat is wel waar.

Maar mensen die niet gewoon even de tijd nemen om rustig door te lezen wat er staat tijdens de installatie en gewoon maar domweg op de "Next"-knop blijven rammen, verdienen het, imho, gewoon om zulke troep op hun pc ge´nstalleerd te krijgen.

En jou voorstel, om weer een regeltje in de wetgeving op te nemen zodat we weer meer regeltjes krijgen ipv van dat we mensen eens is goed gaan inlichten, vind ik dus gewoon het probleem verschuiven ipv op lossen.

Tegenwoordig vind iedereen het maar normaal dat alles via de wet geregeld moet zijn, maar zelf even nadenken over consequenties zit er niet meer in.

[Reactie gewijzigd door defixje op 1 september 2012 00:30]

je installeert programma A; je krijgt tijdens de installatie DUIDELIJK een logo van een ander programma/bedrijf te zien en een aantal vinkjes die je kan uitvinken met de vraag erbij of je iets extra wil installeren....

Je gaat naar de supermarkt voor een fles cola, binnen staat er een standje waar je lekkere snacks kan proeven die ze opwarmen in een frietketel (da's een truc uiteraard, want zo ruikt het mijlenver in de winkel).... wil dat dan zeggen dat jij je kar moet inladen met die troep die ze verkopen omdat je hem gratis kan proeven??? Nochtans kwam je helemaal neit voor die snacks naar de winkel, je kwam een fles cola halen...

zelfde verhaal, andere voorbeeld.... je moet je gewoon niet laten inpakken en gewoon opletten als je dingen aan het doen bent, anders geef je ofwel je privacy weg (internet), of je geld weg (winkel)
Slechte vergelijking. Het zou beter te vergelijken zijn met een fles cola waar standaard een lekkere snack aan hangt die je er zelf vanaf moet halen als je alleen de cola wil.

Daarnaast: soms hebben mensen wel eens haast. Zeker in het geval van Java, want zoiets installeer je alleen als je een programma wil gebruiken dat Java nodig heeft. En dat moet dus snel, want je wil dat programma in actie zien.

Tevens worden zulke "opties" steeds "moeilijker" om uit te schakelen. Zo kwam ik laatst een installer tegen die ook een of andere toolbar aanbood, maar alleen uit te schakelen was als je op het vinkje zelf klikte ipv de tekst die erachter stond (wat redelijk standaard is omdat een checkbox-control dat native ingebouwd heeft). Als je zoiets niet snel genoeg ziet, dan ben je alsnog het spreekwoordelijke lichaamsdeel.
Nogal krom om zaken als Google Chrome en Ask.com toolbar te vergelijken met een lekkere snack die ze aan een fles cola hangen.

Daarbij; als je JAVA hebt ge´nstalleerd weet je al wat er in het installatieprogramma vermeldt staat. Dat hoef je bij een upgrade niet nˇg een keer te lezen. Je wilt er gewoon snel doorheen klikken.

Waar ik me ontiegelijk aan heb geŰrgerd is dat Microsoft plotseling deze BING-toolbar in haar DirectX-installer had geplaatst. Ik ben gewend om gewoon zonder vervelende consequenties op "volgende" te klikken. Voor ik het weet zat ik al met die malware opgescheept.

Ook zie je vaak dat als je in het venster met een of andere toolbar op "volgende" klikt, deze toolbar direct wordt ge´nstalleerd alvorens je de overige installatievragen van het oorspronkelijke programma te zien krijgt. Even corrigeren met "vorige" gaat dan niet meer. Om je helemaal af te zeiken zijn het dan ook nog eens toolbars die je niet direct via het Start-menu verwijderd krijgt. Je zult dus weer in het configuratiescherm moeten gaan.

Wat ik ook niet snap is dat veel software een lege installatiemap achterlaat na het de´nstalleren. Als je geluk hebt enkel in "Program Files" maar met een beetje pech ook in "Appdata\Roaming". Waarom moet de gebruiker steeds handmatig deze lege mappen verwijderen ?? Om van al die loze registersleutels maar te zwijgen die ik met CCleaner moet verwijderen ...
Of meer actueel en praktijkgericht: De producten die zich richten op kinderen! Chips met speeltjes, bananen met stickers etc.

Feit blijft dat iedereen in elke laag van de maatschappij in elk marktsegment zaken door de strot gedrukt krijgen van de dagelijkse boodschappen tot en met It-gerelateerde zaken.

Veel mensen doorzien de marketing in een supermarkt nog wel (helaas niet iedereen) maar zodra het wat geavanceerder word gaat het ze niet lukken. Alleen de schuld geven bij de personen die het niet lezen werkt niet. Ooit een echt zwaar jurudisch document gelezen? Da's echt geen normaal Nederlands hoor :D

Er zal voor dit soort zaken gewoon meer internationale regelgeving incl. handhaving moeten komen om de mensen tegen zichzelf te beschermen.
Mijn moeder klaverjast altijd op spelpunt.nl, maar daar heb je toch echt java nodig, anders kan ze niet klaverjassen.
Java is dus zo lek als een mandje en het advies is dan ook deinstalleer java als je het niet echt nodig hebt. De reaktie van Oracle i.e. larry ellison op het melden van deze lekken is zeer laks en onzorgvuldig te noemen. Ik zou zeggen boycot Oracle!
Ach ja wat verwacht je nou als een innoverend sofwarebedrijf wordt overgenomen door een club van boekhouders. Daarom zie ik ook het liefst dat andere oorspronkelijke Sun technologie zoveel mogelijk als open source forks verder gaan, zo heb ik bijvoorbeeld bij ZFS meer vertrouwen in de verdere ontwikkeling door Illumos en FreeBSD developers dan door Oracle zelf (die hebben verder toch meer interesse in Btrfs, maar dat terzijde).
Ik betwist je BTRFS interesse ten zeerste. ZFS ligt letterlijk licht jaren voor op ZFS en het ziet er niet naar uit dat ze die achterstand in gaan halen. Het feit dat ZFS gewoon van hun is en daar dus veel af zouden kunnen kijken zou je doen vermoeden dat BTRFS ontwikkeling sneller zou gaan, ook dat is niet waar.

ZFS is vooralsnog het enige bewezen checksumming filesystem dat ik ken (dan zullen we het nog niet over z'n andere fancy features hebben) en is closed source gemaakt door Oracle. Bijv. de encryptie is niet beschikbaar in de forks (of niet compatible met ZFS (vor Solaris)). Ze zullen dit vast niet gedaan hebben omdat ze toch al dachten dat het niks waard is.
Ach dikke onzin, alsof het onder SUN wel beter was.. Je moet niet gaan zeuren, Java is inmiddels zo uitgebreid en mensen vinden tegenwoordig veel sneller gaten..
Persoonlijk zou ik zeggen, rol terug naar java 6, ik denk update 25. Daar is dit lek niet in aanwezig, en voor zover ik weet gebruikt nog geen enkele productie app java 7.

Overigens is Oracle er inderdaad aardig een potje van aan t maken, als java ontwikkelaar had ik liever Sun nog steeds als bewaarder van Java gezien (of bij gebrek aan financiele levensvatbaarheid, Google)
Google? Ben je gek geworden? Nee, dan de apache foundation. Een non-profit organisatie die geen enkel commercieel belang heeft. Daar is openoffice ook onder gebracht, en ze draaien onnoemelijk veel succesvolle opensource projecten. (Zoals apache httpd en tomcat)
Google doet het in mijn ogen prima qua open source projecten en op dit moment komt hun eigen Java smaak een stuk betrouwbaarder over.

edit: maar Apache is geen slecht idee uiteraard :)

[Reactie gewijzigd door pauluss86 op 2 september 2012 10:02]

Snap niet dat iedereen zomaar Java wil en kan buitensmijten, maar goed. Je hebt toch nog heel wat programma's en tools van kleine ontwikkelaars die in Java geschreven zijn?
Ik vind het zelf ook wel 'n fijne taal om mee te werken, trouwens :)

Moest dit nu gebeuren met .NET, zou iedereen dan ook zomaar even .NET van z'n systeem knikkeren? Of is het puur omdat het Oracle is? Het is natuurlijk wel triestig dat Oracle zelfs z'n hotfixes niet test.. ;(
Qua ontwikkel zaken wel, maar waar heb je als doorsnee thuisgebruiker dan tegenwoordig eigenlijk nou nog Java voor nodig?
Wel, buiten de kleine tools die je her en der vindt, wordt het toch online relatief veel gebruikt, vind ik. In de vorm van applets en/of webstarts. Kijk naar sommige geavanceerdere uploadforms op 'n website, Minecraft of zelfs RuneScape :)
Dat kan ook geschreven zijn in Flash, vb. photobucket gebruikt flash en geen Java.
precies, want flash is wel veilig...toch?
Volgens maakt het niet zoveel uit of je java hebt geinstalleerd maar meer of je de browserplugin gebruikt.
Zeg ik dat dan, dat Flash veiliger is dan Java?

Ik geef je wel gelijk wat betrefd gebruik, het kan ge´nstalleerd staan maar niet in gebruik zijnde door de browser.
PS3 Media Server en LibreOffice hebben beide Java nodig. Beide programma's gebruik ik bijna dagelijks.
Eh, misschien bij Windows (weet ik niet), maar bij Linux kan ik prima LibreOffice draaien zonder Java (misschien met wat minder functionaliteit, maar dat heb ik nog niet gemerkt).
De miljoenen mensen die Minecraft spelen kunnen toch echt niet zonder.

Verder is ieder stuk software zo lek als een mandje, nu komt er toevallig gewoon eentje aan het licht en dan moet iedereen weer lekker lopen klagen.

Er is maar 1 ding wat Oracle echt moet doen: hak in vredesnaam de applet support en daarmee de oude sandbox eruit. Men zet alles in op JavaFX 2, het wordt tijd om dat zover te brengen dat het de oude en altijd gehaatte technologie 100% kan vervangen. Ook voor gaming doeleinden.
Als je dit soort opmeringen zet in een Apple of Windows topic dan wordt je voor gek verklaart :+
Qua ontwikkel zaken wel, maar waar heb je als doorsnee thuisgebruiker dan tegenwoordig eigenlijk nou nog Java voor nodig?
Mijn Synology en QNap nassen vinden het ook fijn (betere filemanager).
[...]

Mijn Synology en QNap nassen vinden het ook fijn (betere filemanager).
Alleen als je een browser hebt die html5 niet goed ondersteund. Safari op de Mac - zonder Java - roept er niet om.
Qua ontwikkel zaken wel, maar waar heb je als doorsnee thuisgebruiker dan tegenwoordig eigenlijk nou nog Java voor nodig?
Een van mijn favoriete ftp/sftp utilities, cyberduck, is in Java geschreven.
Misschien gebruikt die intern wel nog iets van Java, of heb je wat minder functionaliteit?

In ieder geval, wat lost dit nu op? Binnenkort heb je het toch weer nodig en mag je het weer lekker installeren. Run voorlopig alleen Java-gebaseerde applicaties die je vertrouwd en je bent ook veilig.

En voor Flash zijn er al alternatieven: HTML5 om maar eentje te noemen.
Het gaat om de browserplugin. Als een website Java bevat, dan wordt dat ook meteen gerund, dat kan dus ook malware zijn die een van de exploits gebruikt. Maar veel websites die echt nog Java gebruiken zijn er niet meer, dus ik denk niet dat ik het echt ga missen. Wat ik wel ga missen, als kiespijn, is dat steeds weer updaten van kritieke lekken...

Over LibreOffice: ik denk dat die z'n eigen Java-runtime meelevert.
Dat is in Chrome toch zeker het geval niet en ik dacht dat Firefox ook altijd mooi 'n bevestiging vroeg?

Je kan meestal wel aangeven van 'ik wil dit eenmalig uitvoeren' of 'alle ge-embedde applets runnen op deze site'.

Je moet je browser natuurlijk ook wel niet volledig onbeschermd laten.

Dat LibreOffice is inderdaad wel iets speciaals, het heeft niet echt Java nodig, of heeft, zoals jij al aangaf, z'n eigen runtime: http://ask.libreoffice.or...ibre-office-without-java/
Moest dit nu gebeuren met .NET, zou iedereen dan ook zomaar even .NET van z'n systeem knikkeren?
Nee, want Microsoft is er meestal wŔl snel bij. Meestal maken ze zelfs nog aparte hotfixes beschikbaar of geven ze tijdelijke workarounds totdat er een complete patch is. Een patch wordt dan ook meestal -maar zeker bij kritieke lekken- binnen een paar dagen tijd en goed doorgetest uitgeleverd.
Het bevat geen nieuw lek, het is het oude lek dat gewoon nog altijd misbruikt kan worden dat niet helemaal gedicht is.

"Het advies blijft dan ook onveranderd: de´nstalleer Java, tenzij je het echt nodig hebt. " Waardeloos advies, dat is hetzelfde als zeggen deinstalleer Windows/Linux/Mac tenzij je het echt nodig hebt, een tegenstelling op zich.

[Reactie gewijzigd door Neverwinterx op 31 augustus 2012 19:31]

Dan zal de update 6.35/7.7 datzelfde lek ook wel bevatten.
meuk: Oracle Java 6.0 update 35 / 7.0 update 7
Het staat verdorie in de tekst:
De noodpatch die Oracle uitbracht om een lek in Java te dichten, bevat nog altijd een kritieke kwetsbaarheid waarmee kwaadwillenden de computer van een gebruiker kunnen overnemen.
Volgende keer maar even lezen voor je reactie plaatst. :)
Minecraft in Flash spelen? Of HTML5, wat is je advies? ;)
Jammer dat je gebreken aan applicaties toeschrijft aan het platform waarvoor ze zijn geschreven.
Ik heb dat hele Java nooit zo begrepen, het is traag en CPU belastend.
Goed geschreven Java Apps zijn supersnel en doen qua resources gebruik niet onder voor goed geschreven C Apps.

Jouw voorbeeld met eclipse kan ik ook totaal niet reproduceren. M'n accuduur lijdt er niet onder als ik eclipse gebruik.
Je zou bijna denken dat ze het expres doen...
Heb java nodig voor een dowloadprogramma, dus gaat niet van mijn pc af....
Je kan het altijd in een VM of sandbox draaien...
Een mooie oplossing voor mij is om de java-plugin slechts in een enkele browser te activeren. Zo heb ik in mijn standaardbrowser (chromium) geen java beschikbaar, maar mocht ik het echt nodig hebben (voor bijvoorbeeld iDRAC) dan start ik Firefox op waarbij deze wel is ge´nstaleerd.

Op dit item kan niet meer gereageerd worden.