Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 43, views: 15.179 •

Van alle kwetsbaarheden in software worden die in Java het meest misbruikt door malware; maar liefst 56 procent van de malware richt zich daarop. Dat blijkt uit cijfers van Kaspersky. Ook kwetsbaarheden in Acrobat Reader worden vaak misbruikt door aanvallers.

Kaspersky baseert zich op malware die is onderschept door zijn virusscanner. Acrobat Reader van Adobe is goed voor nog eens 25 procent van de aanvallen; samen hebben deze twee softwarepakketten 81 procent van de 'exploitmarkt' in handen. Slechts vier procent van de malware richt zich op kwetsbaarheden in Windows en Internet Explorer. Ongeveer 2 procent is gericht op mobiel besturingssysteem Android. De cijfers hebben betrekking op het afgelopen kwartaal.

De populariteit van Java onder malware-auteurs kan worden verklaard door de hoge install-base: volgens Oracle is Java geïnstalleerd op 1,1 miljard pc's. Wat echter ook meespeelt, voert Kaspersky aan, is dat veel gebruikers Java niet updaten en dat veel Java-bugs makkelijk te misbruiken zijn.

Kwetsbare Java-versies komen volgens Kaspersky vaak voor. Zo is 35 procent van de gebruikers kwetsbaar voor een aantal kwetsbaarheden die in augustus werden ontdekt en die het op afstand uitvoeren van malafide code mogelijk maken. Een patch die die bugs oploste maar zelf nieuwe kwetsbaarheden introduceerde, is geïnstalleerd op 21,7 procent van de pc's. Ook onveilige versies van Flash, Acrobat, iTunes, Winamp en Shockwave komen vaak voor.

Het beveiligingsbedrijf zegt dat Nederland een populaire thuishaven is voor het hosten van malware. Volgens het bedrijf werd 17 procent van de malware in Nederland gehost in het afgelopen kwartaal. Dat is een stijging van 5,8 procentpunt. Alleen de Verenigde Staten en Rusland zijn populairder, met respectievelijk 20 en 23 procent.

In september kwam McAfee tot de conclusie dat driekwart van de Europese, met malware besmette hostingservers in Nederland staat. Dat onderzoek leidde tot kamervragen, en in antwoord daarop relativeerde minister Ivo Opstelten van Veiligheid en Justitie die bevindingen. De minister haalde daarbij cijfers van Kaspersky aan, waaruit bleek dat 12 procent van de besmette malwaresites in Nederland te vinden zou zijn. Inmiddels is dat cijfer dus gestegen.

Onderzoek Kaspersky

Meest misbruikte software. Bron: Kaspersky

Reacties (43)

Wat ik mij af vraag: in hoeverre heeft de overname van Oracle hieraan bijgedragen? Ik weet dat Oracle hier en daar steekjes laat vallen in de ondersteuning, zou dit hier onderdeel van zijn?
Wat echter ook meespeelt, voert Kaspersky aan, is dat veel gebruikers Java niet updaten en dat veel Java-bugs makkelijk te misbruiken zijn.
Dat vind ik ook niet zo gek, je wordt tegenwoordig helemaal doodgegooid met updates van bv. Java en ook Flash.
Ze hebben tegenwoordig meer updates dan Windows.
De´nstalleren van Java en Flash is voor mij de beste optie.

[Reactie gewijzigd door Vexxon op 5 november 2012 12:39]

[...]

Dat vind ik ook niet zo gek, je wordt tegenwoordig helemaal doodgegooid met updates van bv. Java en ook Flash.
Dat valt juist vies tegen bij Java. Zo wordt een bekende en ernstige exploit in Java pas in februari gedicht. Uit onderzoek blijkt dat het patchen helemaal niet veel tijd en middelen hoeft te kosten (inclusief testen).
Ze hebben tegenwoordig meer updates dan Windows.
Microsoft heeft maandelijks vaste patchrondes. Java niet. Flash zie ik voor het gevoel wel redelijk vaak, maar kan mij voorstellen dat dit ook maandelijks is.
De´nstalleren van Java en Flash is voor mij de beste optie.
Voor jou wel, maar sommige gebruikers zijn gebonden aan het gebruik van Java.

Een groter probleem is dat Java als plugin standaard is ingeschakeld in de meeste browsers en dat websites op afstand Java kunnen starten. Firefox heeft als testfunctie al 'click to play' (about:config -> plugins.click_to_play), maar dit staat standaard niet aan.

[Reactie gewijzigd door The Zep Man op 5 november 2012 12:51]

wat nog een bijkomend probleem is van java is dat oude versies niet vervangen worden, maar er nieuwere versies naast geinstalleerd worden, waardoor je in princiepe nog steeds vatbaar kan zijn...
Dat was vroeger inderdaad zo, maar inmiddels al enkele jaren niet meer het geval. Scheelt ook een hoop schijfruimte.
Dat is al sinds java 6 update 10 niet meer waar.
Dat klopt, maar.... als er nog versies van voor update 10 erop staan, blijven die er gewoon op staan.

Ik zie op mijn werk nog steeds PC's langskomen met Java versie 5, update xx, en diverse 6 updates.

Hetzelfde als met Java 7, die laat de versie 6 ook gewoon staan.
Wat schijfruimte betreft, ook Java 7 laat setup bestanden van eerdere versies achter. Als je gaat rondneuzen in je gebruikersprofiel (AppData) kan je ze vinden, ook iets die eindelijk eens mag opgekuist worden door de installer. Zie ook een eerdere post.

Maar het is al een flinke verbetering dat men nu al sinds ergens in versie 6 de boel gewoon kan upgraden in plaats van dat het gewoon de nieuwe versie naast de oude installeert, scheelt weer een paar manuele handelingen.

[Reactie gewijzigd door Horrorist618 op 5 november 2012 22:06]

Afgezien van de kwetsbaarheden, is er voor mij nog een extra reden om Java niet te installeren op PCs van bijv. senioren:

Bij elke update installeert Java standaard de Ask toolbar mee. Die optie kan je uitvinken, maar uiteraard doen velen dit niet. Met als resultaat een browser die er "opeens" anders uitziet, zoekresultaten anders worden, etc.
Ik denk dat het meer iets te maken heeft met de aanpak van Microsoft om de beveiliging van hun systemen eindelijk eens wat beter te organiseren.

Enkele jaren geleden was je toch een partij gek als je de moeite nam om via Java or Flash een systeem aan te vallen het OS was zo lek als een mandje. Na vele aanvallen en vele schandelijke situaties waar enorme delen van de wereld werden aan gevallen en waar de fout echt niet lag bij de schrijvers van de malware maar eerder bij de schrijvers van het OS die simpel weg niets van beveiliging begrepen of in ieder geval de moeite niet namen deze kennis in praktijk te brengen is dat nu wel anders. Microsoft heeft het een stuk lastiger gemaakt om hun OS aan te vallen en dus zoeken de malware makers naar een nieuwe manier die minder goed beveiligd is.

Oracle's overname heeft hier weinig tot niets mee van doen het is simpel weg de overblijfselen van Sun en de manier waarop men daar met de beveiliging van Java omging. Oracle is waarschijnlijk zeker nu dit soort rapporten meer en meer verschijnen langzaam maar zeker meer mensen aan het trainen om de beveiliging serieus te nemen en om te begrijpen hoe een aanval gedaan kan worden.
Google heeft al meerdere malen verschillende studies gebruikt om aan te tonen dat als mensen weten hoe een gebruikelijke aanval plaats vind dat het veel al doodsimpel is om ze te voorkomen door dat je er van af het begin af aan rekening mee houd als developer. Ook Microsoft heeft deze zelfde aanpak gebruikt toen zij besloten het OS veiliger te maken. Niet alleen mensen de theorie laten zien maar ze ook in de praktijk leren hoe zo iets nu in zijn werk gaat. En natuurlijk het testen van de code om te kijken of buffer overflows voorkomen worden dan wel fatsoenlijk worden afgehandeld.

Adobe is een peop bedrijf dat waarschijnlijk nooit iets zal doen aan de extreem slechte code achter flash en Acrobat reader wat een even grote open deur is. Een van de dingen die veel mensen nog niet beseffen is dat het feit dat je vrijwel zonder enige restrictie code kunt uitvoeren die in een pdf verstopt zit (functionaliteit die Adobe wel handig leek) betekend dat er nog minimaal een paar jaar aan malware via die weg beschikbaar is.

Wat bedrijven zo als Microsoft en en mindere mate Google, die van af het begin al een focus had op beveiliging, bewijzen is dat met een klein beetje goede wil een zeer groot deel van de malware schrijvers simpel weg op zoek gaat naar makkelijkere doelen. Ondanks dat je als je een lek in Windows vind je veel meer bereik hebt dan met Java of Flash is het minder de moeite waard omdat het meer werk is en omdat het waarschijnlijk sneller opgelost is dan een lek in de andere twee.
Oracle lijkt serieus werk te maken van Java en het zou me niets verbazen als ze een van de volgende releases voornamelijk richten op de enorme hoeveelheid lekken in de bestaande code in plaats van nieuwe code te schrijven. Als ze dat doen dan kon de pie chart hier boven er nog wel eens heel aders uitzien over een jaar of twee.
Onzin, onder het beleid van Sun was het ook niet veel beter hoor..
Iets met "open deuren intrappen".

Als je bijvoorbeeld Secunia PSI gebruikt om je software actueel te houden zie je dat Java altijd een hoge risico met zich meebrengt. Zelfs na al het patchen blijft de balk rood. Kan me niet herinneren dat Java de afgelopen jaren een lager risico als 4/5 heeft gehad bij Secunia.
Opvallende afwezigen in deze pie-chart zijn de internetbrowsers. Blijkbaar is het stukje software waar normaliter de meeste aandacht naar uitgaat als het op veiligheid aankomt, in de praktijk nauwelijks de schuldige bij mallware-besmettingen.
Windows/IE 4% staat in het plaatje. Nog steeds opvallend weinig.
Zeker als je ziet dat Acrobat Reader en Java vele malen hogere scores behalen dan een OS + browser waar het op/in draait.
Internetbrowsers zijn inmiddels behoorlijk veilig geworden. Probleem met Adobe Reader, Flash en Java is dat je over het algemeen exploits maar eenmalig hoeft te schrijven en meteen alle browsers te pakken kunt nemen, en met een beetje mazzel zelfs multi-platform.

Daarnaast is het patchbeleid van de browser en OS-fabrikanten gewoon veel beter dan die van Oracle. Laatst was er een nieuwsbericht over een bug die te laat bekend was gemaakt, werd niet meegenomen in de patchronde van oktober, maar moet wachten tot februari. Dan hebben we het over een securitybug die inmiddels actief gebruikt wordt, maar pas over 4 maanden gepatcht wordt.
Als je als malwarebouwer moet kiezen tussen een bug die waarschijnlijk al opgelost is op de meeste systemen, of een bug die pas in februari gefixt gaat worden...
In september kwam McAfee tot de conclusie dat driekwart van de Europese hostingservers in Nederland staat.
Vreemde zin. Pas na door te klikken naar het bron artikel kwam ik erachter dat het om besmette servers gaat:
Driekwart besmette Europese hostingservers staat in Nederland
Het is de arrogantie van Oracle om daar iets mee te doen, volgens mij slapen ze.
Oracle heeft sun niet overgenomen voor java, net als openoffice was het vooral lastig voor ze
Grapjas. Er zijn twee redenen geweest om Sun over te nemen: Java en Solaris. Oracle deed zelf al ontzettend veel zowel de programmeertaal als het OS. Wellicht ben je in de war met MySQL.
Oracle's move on Sun is partly motivated by a desire to snap up two pieces of software – the programming language Java and Sun's Solaris operating system, both widely used throughout the world.

[..]

Oracle sees the company as a logical fit because Sun's Java and Solaris software is already used in its own fleet of databases and in its middleware software, which joins diffuse applications. Oracle's chief executive, Larry Ellison, said Java was one of the industry's best-known brands, used on hundreds of millions of computers, mobile phones and even DVD players.

[Reactie gewijzigd door .oisyn op 5 november 2012 14:34]

Afgelopen maand op 2 notebooks en op de pc ransomware gehad die via Java binnenkwam (meest recente versie, oude versies verwijderd). Op de laptop zelfs 3x binnen enkele dagen. Vervolgens java eraf gegooid en geen problemen meer gehad. Bij veel klasgenoten hetzelfde }:O

*en het gaat hier om systemen met up2date antivirus. Avira op 1 van de laptops, Security essentials op de andere.G-data op de pc.. Geen van allen kon het virus vinden.

[Reactie gewijzigd door CrashOverDrive op 5 november 2012 12:36]

Er zit een groot lek in Java dat ze dus waarschijnlijk pas gaan dichten in februari, ik draai juist nog een oudere versie waar dat gat niet in zit. Dat is ook weer een risico, maar ik neem de gok dat een dat dat flink in de media is geweest eerder wordt misbruikt dan een aantal gaatjes van maanden geleden die waarschijnlijk wel al gedicht zijn. Het is een nare situatie, ik heb al overwogen om Java te deinstalleren, maar een aantal applicaties maken daar gebruik van. De kans is nu zelfs aanwezig dat ik de betreffende applicaties in een virtual machine ga draaien en daar alleen Java op installeer, dan beperk ik de problemen zoveel mogelijk.
Als je firefox gebruikt is wellicht noscript een optie? Dat blokkeerd het uitvoeren van oa flash en java tot jij explisiet toestemming geeft.

Ik gebruik gelukkig de openJDK die wat beter qua veiligheid is want ik heb java perse nodig (oa eclipse)

[Reactie gewijzigd door hackerhater op 5 november 2012 14:52]

Al meerdere jaren geleden besloot ik dat Java en Javascript te grote beveiligingsrisico's aan het worden waren. Ik heb toen QuickJava en NoScript in Firefox ge´nstalleerd.

Java staat standaard uit en dat is altijd zichtbaar aan het rode knopje in de statusbalk. Het is slechts zeer zelden nodig om dat tijdelijk aan te zetten. De rest van de tijd kan in elk geval niet elke webpagina zomaar Java gebruiken op mijn computer.

Dit bericht bevestigt mijn besluit van toen alleen maar.
Mijn advies: Heb je Java niet echt nodig, gooi het er dan direct af! Ik heb al hoop ellende om mij heen gezien waarbij Java een hoofdrol speelt waarbij alle beveiligingsmaatregelen in acht waren genomen. (AV met laatste defenities, firewall aan, ect.)

[Reactie gewijzigd door Deem op 5 november 2012 12:40]

Moet wel zeggen dat Android Root een hoog percentage heeft!
Ik keek net even naar mijn 64bit windows 7 en zag geen auto updater nou lijkt het wel of er geen 64 bit autoupdate is?

Dit lijkt me ontopic gezien het feit dat het niet updaten juist de kwetsbaarheden opwekt.

[Reactie gewijzigd door EnderQ op 6 november 2012 00:12]

Hoe wordt die Java Runtime dan juist aangevallen? Vanuit het browser lijkt me evident, maar kan hij ook rechtstreeks aangevallen worden? Of wordt er bijvoorbeeld via een windows exploit binnen gedrongen om daarna eenvoudig via Java tot root te geraken?

Ik heb bijvoorbeeld NoScript runnen dus Java applets worden nooit standaard uitgevoerd, maar dat is misschien maar een vals veiligheidsgevoel ?
Het komt voor via een niet geŘpdatet versie van java, de meest bekende klpd krijgt toegang tot de root
Zo goed als alle java exploits gaan via applets. Wanneer je java niet als plugin voor je browser hebt, of dit hebt uitgeschakeld, dan heb je geen last van deze exploits.
Bij deze heb ik Java voorgoed verwijderd van mijn PC. Ik dacht het nodig te hebben voor Open Office, maar het overgrote deel van de functionaliteit van Open Office blijkt prima te werken zonder Java. Het wordt met name gebruikt voor de database (Base) en integratiefuncties (bron).
Java gaat vanavond ook van mijn PC af als ik dit zo lees, wist het eigenlijk wel maar dit is even een wake up call, heb hem eigenlijk nooit nodig.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBGrand Theft Auto V

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013