Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 49, views: 16.623 •

Een eind vorige maand ontdekt beveiligingsprobleem in Java, wordt pas in februari gepatcht. De bug zou te laat zijn gekomen voor Oracles driemaandelijkse patchronde. De kwetsbaarheid maakt het omzeilen van de sandbox mogelijk.

JavaDe vinder van het lek, de Poolse beveiligingsonderzoeker Adam Gowdiak, zegt tegenover Security.nl dat de kwetsbaarheid die hij ontdekte niet is meegenomen met een grote patch die dinsdag is uitgebracht. Daarin worden dertig kwetsbaarheden verholpen, maar niet die van Gowdiak.

Volgens de beveiligingsonderzoeker heeft Oracle hem gezegd dat de patch tijdens de eerstvolgende patchronde, in februari 2013, zal worden opgelost. Volgens Oracle kwam de melding van de kwetsbaarheid te laat binnen om deze mee te kunnen nemen tijdens de patchronde van deze maand.

De kwetsbaarheid die Gowdiak ontdekte, maakt het mogelijk om de sandbox te omzeilen en eigen code uit te voeren. Volgens de beveiligingsonderzoeker zijn een miljard Java-gebruikers kwetsbaar, omdat zowel de Java SE-versies 5, 6 als 7 kwetsbaar zijn.

Reacties (49)

Altijd goed om te weten welke prioriteit een bedrijf geeft aan veiligheid....
Ja Oracle zit er bovenop zoals je ziet :-)

Ik vind het als Java programmeur een blamage voor Java dat Oracle zo laks omgaat met dit soort zaken. Wat mij betreft is dit een signaal dat Oracle het product Java voor de desktop ook volledig links laat liggen en geen prioriteit geeft. Er is ook maar 1 echte optie en dat is om de Java plugin te disablen of de hele JRE te uninstallen.

Ze hadden sowieso wat meer vaart moeten zetten achter het modulair maken van Java (project jigsaw). Dan hadden ze ook beveiliging updates IMHO ook veel makkelijker kunnen uitrollen.
Waarschijnlijk bedoelde je deze opmerking niet 100% serieus maar ik wilde toch even opmerken dat de overstap voor bedrijven groot of klein juist niet zo gemaakt is.

Sterker nog, sommige bedrijven kunnen het gewoon niet veroorloven om over de stappen op een nieuwe taal en hebben meestal al een arsenaal aan libraries en software pakketten. En natuurlijk het omscholen van personeel kost ook bakken met geld.

Maar ik hoop dat Oracle zeer binnenkort in gaat zien dat ze een beetje laks overkomen de laatste tijd en hier veranderingen in brengen. Java verdwijnen zal voorlopig niet gebeuren omdat er simpelweg gewoon geen vergelijkbaar alternatief is voor veel mensen (C# is van Microsoft, andere talen zijn niet populair genoeg e.d.).
C# lijkt enorm veel op Java en migratie zou heel makkelijk moeten zijn. Denk niet dat het voor de meeste Java bedrijfjes onhaalbaar is. Ik denk dat als je de code vertaalt je dat ongeveer zo snel doet als je kan typen, het kan bijna letterlijk over.
Een overstap is helemaal niet zo makkelijk. Ok, C# lijkt goed op Java kwa syntax en een stuk ook de standaard meegeleverde libraries, maar daar stopt het dan ook. Al de rest is anders. Denk maar aan IoC frameworks, web frameworks, ORM libraries, ... Ik denk zelfs dat het voor de meeste projecten voordeliger zou zijn om een full rewrite te doen (uiteraard wel gebaseerd op de oude code) dan om puur de code te porten.

Ik ga er wel mee akkoord dat bedrijven die voornamelijk Java gebruiken kunnen overstappen naar .NET voor nieuwe projecten, maar dan is het de vraag als zij niet de helft van hun development team verliezen.

En ik negeer hier nog de OS issues.
Helaas hebben veel bedrijven inderdaad niet die luxe maar C# leeft een stuk meer dan Java de laatste jaren. Zoiets als een simple en foutloze File.ReadAll als in C# miste tot voorkort. Het concept van properties mist nog steeds.

Net zo laks als Oracle is met paches is het met nieuwe taal/library features. Als je zaken als Linq en Lambda expressies geproefd hebt en stukken Delphi & Java code van 50+ regels in 2-3 regels leesbaar kunt herschrijven moet je toch een lampje gaan branden.

Ik vraag mij nog steeds serieus af waarom ze Java niet gewoon afstoten.
Ik moest gister toevallig bij een klant een nieuwe java versie installeren voor een probleem en daar viel het me al bij op dat je blijkbaar een account moet aanmaken bij Oracle en inloggen alleen al om een JRE te downloaden. Dat soort belachelijke dingen zeggen mij in feite al genoeg dat Oracle Java dood lijkt te willen. Juist het distribueren van de runtime moet je toch zo makkelijk mogelijk maken? Dan nog van die rare dingen als dat de automatische java updater om admin rechten vraagt vrdat je de keuze krijgt of je de update wil installeren, nee gebruikersvriendelijkheid lijkt totaal geen aandacht te krijgen, sterker nog, het voelt als minachting voor de klant vanuit Oracle (al zou dit specifieke dingetje misschien best al uit de sun tijd kunnen stammen, weet ik niet).

Als je op dit moment java nog met gebruiken dan zit je in een lastig parket inderdaad, maar door de algehele houding van Oracle zou ik toch zo snel mogelijk proberen om van die afhankelijkheid af te komen. Vond het ook wel typisch om bij de install nog zo trots de meldingen te zien over hoeveel apparaten java wel niet gebruiken, terwijl in mijn ervaring bijna overal java zo hard mogelijk overboord gegooid wordt. Iedereen probeert snel het zinkende schip te verlaten.
Ik moest gister toevallig bij een klant een nieuwe java versie installeren voor een probleem en daar viel het me al bij op dat je blijkbaar een account moet aanmaken bij Oracle en inloggen alleen al om een JRE te downloaden.
Voor eindgebruikers is java zonder Oracle account te downloaden van java.com. Alleen voor pre-release versies en SDK's moet je een login hebben.
Bla bla bla. Oracle heeft er absoluut geen baat bij dat Java 'dood gaat' aangezien een grote hap van hun eigen commerciele producten gebouwd is op dat platform.

Het heeft ook geen moer met Java te maken - waar men hier over valt is hun idiote policy met betrekking tot patch runs. Om de 3 maanden, hoe zot kun je het maken!
Blijkbaar is de lek niet zo belangrijk dat ze het buiten de patchronde vrijgeven? Erg vreemd, ze zeggen dus dat het een 'groot beveiligingsprobleem' is. Maar ze nemen niet de moeite om het buiten de patchronde of deze ronde uit te stellen...

[Reactie gewijzigd door alienfruit op 18 oktober 2012 07:49]

Dat bedoel ik, die onderzoeker maakt waarschijnlijk van een mug een olifant.
Of Oracle geeft gewoonweg niets aan veiligheid, en kan het niet schelen dat gebruikers 3 maanden lang onveilig software gebruiken. Klinkt als een iets realistischer scenario.
Wat een bureaucratisch gemodder. Waarom kan Java niet eenvoudig op de achtergrond updaten zodat er wat vaker patchrondes gedaan kunnen worden?
Omdat je dat niet wil. Je loopt dan namelijk het risico, zeker in zakelijke omgevingen, dat bepaalde software niet meer werkt. Dat is namelijk nogal eens tricky bij Java-applicaties. En sommige applicaties vereisen zelfs expliciet een specifieke Java-versie.

Je krijgt nu al een update popup, dus de check zit er al in, maar een volledige unattended installatie lijkt me ook niet heel erg handig om bovengenoemde redenen.
En een gekraakte PC is een niet veel groter ramp-scenario dat een bepaald stuk software dat mogelijk niet werkt en bijgewerkt moet worden?.. Pick your poison.
sommige bedrijfskritische applicaties worden nu eenmaal niet verder ontwikkeld. Dan moet je wel. en kan je achtaf zeggen "I told you so"...

Wij werken hier ook nog met applicaties waarvan we in 2003 de testversie kregen (nog niet de volledige, daar waren ze te gierig voor) en dat we het er nu ook nog altijd mee moeten rooien. En dat is een systeem voor 4M klanten.
Pick your poison.
Een systeembeheerder bij een groot bedrijf is verantwoordelijk voor honderden systemen. Als je ongezien een update uitrolt en 10% van de medewerkers kan vervolgens niet meer aan het werk dan heb je een groot probleem.

Elke update zal dus onderzocht moeten worden. Wat is de kans dat er door de update iets kapot gaat en wat is de kans dat er door niet te updaten iets kapot gaat. De eerste kans kan je onderzoeken door een acceptatietest uit te voeren. En dat kost nu eenmaal tijd.
Bij ons wordt idd Java door de systeembeheerder beheerd. We kunnen het zelf niet updaten en maar gelukkig ook... anders werkt een deel van de applicaties opeens niet meer :+
Wordt de exploit al zovaak misbruikt dan?
misschien nu nog niet, maar als een kwaadwillende weet dat hij iets kan maken wat maarliefst 3 maanden ongestoord zal kunnen werken.... Ik denk dat dit lek veel aandacht mag verwachten
Is de vraag "Wordt de exploit al zovaak misbruikt dan?" relevant? Heeft het enige meerwaarde om te wachten tot het inderdaad vaak misbruikt wordt alvorens in actie te komen?

Behalve dan voor iemand die geen verantwoordelijkheid draagt voor toekomstige slachtoffers maar wel voor zijn eigen budgetje?

Of is hier sprake van een flinke dosis kortzichtigheid gekoppeld in een grote portie onverschilligheid, gelardeerd met een scheut eigenwijsheid?
Beveiligingsupdates zouden sowieso per major versie moeten worden uitgerold.. Dan gaat je compatibiliteitsissue niet meer op. Tenzij je software hebt dat 'rekening houdt' met de eventuele bugs in Java.
Als Oracle Java update, dan gaat daar een een heel traject aan vooraf. Het is niet alleen maar dat ze eens per kwartaal een bestand naar buiten sturen...

Bug fixen, testen, build regressie tests.

En dat herhalen tot alle geplande dingen gedaan zijn. Dat proces stop je niet in een week (of twee, of drie)
Nou als de halve wereld gehacked wordt, dan kun je het beter wel in een week stoppen (of liever, een dag). Nu disable ik Java altijd en overal gewoon (als browser plug in tenminste) omdat het gewoon onveilig is.
Ik zeg niet dat het een goede beslissing is om dan maar 3 maanden te wachten, ik geef alleen maar aan dat ze niet 'gewoon even' vaker kunnen releasen.

Het probleem met Java is dat er zoveel gebruik van wordt gemaakt.. Je wilt dus niet een snelle fix maken die meer kapot maakt dan fixed.
Dit beveiligingslek is vervelend, maar het is niet iets van het niveau van een gat in Apache, of OpenSSH.

Je kan misbruik voorkomen door Java in browsers uit te zetten, en geen obscure java stuff te downloaden/runnen.
Andere bedrijven kunnen dat blijkbaar wel in een paar dagen als er een kritisch lek is. Als er zo een groot probleem in je software zit, dan moet dat prioriteit krijgen.

En zo geweldig werkt dat hele proces blijkbaar niet, want dit is niet de eerste keer dat Java met dit soort lekken zit.

Wat er nu gebeurt is dat mensen Java gaan afraden, en ik heb het idee dat Java alleen nog maar in zakelijke software gebruikt word. Ik heb het al tijden niet meer geinstaleerd, en nog nooit gehad dat iets niet werkte daar door. En consumenten organisatisch raden ook al af om Java te draaien op je PC.

Oracle is Java gewoon kapot aan het maken
Och, laten ze het nou eerst eens voor elkaar krijgen dat als ik Java instel om op woensdag om 15:00 te updaten, dat DAT DAN OOK ZO WERKT. En niet dat na het herstarten van de PC de update weer op de STANDAARD DAG : ZONDAG wordt ingesteld... (weliswaar om 15:00 maar dat terzijde)

Iemand die hier een oplossing voor heeft soms?
En kom niet aan met jucheck.exe beeindigen en javacpl als admin starten want dat werkt dus niet.
Ik wil iedereen oproepen om eens te proberen om de update op een andere dag dan zondag in te stellen, ik ben benieuwd.
Het gaat toch maar om 1 miljard gebruikers 8)7
Dus....
Ik krijg steeds meer het idee dat Oracle er met de pet er naar gooit en de veiligheid van hun gebruikers geen bal intereseert. Ik draai in ieder geval geen java-plugin's meer in mijn browser, maar hoe reageren bedrijven er op waneer zij diensten voor medewerkers hebben draaien die hiervan gebruik maken?
Nu is java al een tijdje niet meer noodzakelijk (is het imo ook nooit geweest), maar als je nog diensten aanbied waar een java-plugin een vereiste is, kan je maar beter gaan denken om het met andere technologie op te lossen..
draaide je uberhaupt al java applets?

laatste keer dat ik een java applet heb gebruikt is...... heel lang geleden

je kan nog prima een stuk software aanbieden die nog met een java applet werkt , de programmeur van het applet heeft simpelweg meer mogelijkheden en vrijheid dan die eigenlijk zou moeten hebben.

dus zolang de gebruiker niet domweg elke applicatie accepteerd zijn er totaal geen problemen. dus vandaar geen directe patch, domme mensen verdienen het gewoon om gehackt te worden...
nou dan update je die toch eventjes een paar daagjes na de grote "patchronde"

wat is dat voor een kutmentaliteit om grote beveiligingsproblemen pas met patchrondes te dichten, vooral omdat die rondes dus blijkbaar 4 maanden duren

fix het, en update het, zo moeilijk is dat niet

[Reactie gewijzigd door Remmes_NT op 18 oktober 2012 07:58]

fix het, en update het, zo moeilijk is dat niet
Heb jij ooit softwarepaketten voor bedrijfskritische omgevingen onderhouden? Zonder het goed te willen praten als n miljard gebruikers kwetsbaar zijn (ik vind dat Proxy hierboven een punt heeft): zo moeilijk is het wel! Zie ook de reactie van JAVE. Ik durf niet uit te sluiten dat er zelfs bedrijven actief gebruik maken van het lek om hun applicaties taken uit te laten voeren die zonder dit lek heel omslachtig zouden zijn. Kwalijk? Zeker, maar kijk eens hoe verschillende browsers met dezelfde HTML-standaarden omgaan: slechts weinig programeurs volgen het boekje voor de volle 100%
Eh... dus omdat er goedaardige applicaties zijn die gebruik maken van dit lek, moeten alle andere gebruikers, die alleen maar narigheid kunnen ondervinden van de kwetsbaarheid, van een veiligheidsupdate worden onthouden? Kom nou.
Dat zou inderdaad de omgekeerde wereld zijn. Soort van… 'Deze busdienstregeling klopt niet meer want nu moeten we ons aan de maximum snelheid gaan houden.'
Er zijn een heleboel eisen die je aan een product moet stellen. Twee er van zijn "veiligheid" en "bruikbaarheid". Als je product niet bruikbaar is kun je het beter niet uitbrengen. Over onveilige producten kunnen we hele lange discussies houden dus daar zal ik geen uitspraak over doen. Ik volsta me het herhalen van bovenstaande stelling: als een product niet bruikbaar is kun je het beter niet uitbrengen.
Geen last meer van, na het gefaal dit jaar is Java van alle computers hier thuis en omgeving (ouders enz) gedenstalleerd. Zonder Java draait alles prima en dus nooit gemist.
Meteen een zorg minder bij dit soort berichten.
Java wordt ook bijzonder weinig gebruikt door consumenten, ik denk ook dat het voor 90% van de mensen overbodig is. De plekken waar java wel veel gebruikt wordt is aan de server kant en daar is dit probleem wat minder boeiend, tenzij je je rechten op het systeem kan verhogen. Dat laatste is volgens mij niet het geval.
"Ja hallo met de NSA/CIA/FBI/Opstelten hier, kunnen jullie nog even wachten met dat gepatch, we moeten nog een berg verdachten hacken"
3 maandelijkse patchronde? Als ik wel ergers gek van word is het java updates!

Java is er bij ons in ieder geval compleet af en komt er ook niet zo snel meer op.

Op dit item kan niet meer gereageerd worden.