Oracle: Java-lek wordt 'binnenkort' gerepareerd
Oracle heeft te kennen gegeven dat het recent ontdekte beveiligingsprobleem in Java binnenkort wordt gerepareerd. Een eventuele datum voor de release kon de softwaremaker niet geven. Wel is bekend dat de eerstvolgende patchronde in februari is.
Dat zei Oracle in een statement waar Reuters over bericht. Alhoewel de softwaremaker geen verdere details kwijtwilde over de releasedatum, is het mogelijk dat de fix met de patchronde in februari wordt uitgebracht: eerder was de vraag of Oracle nog op tijd een oplossing kon vinden, maar omdat de softwarebouwer stelt binnenkort het lek te zullen repareren, lijkt dat te zijn gelukt. Daarnaast maakte het bedrijf bekend dat het lek zich alleen in Java 7 bevindt. Eerder werd gesuggereerd dat alle versies van het platform vatbaar zijn.
Het lek in Java werd kortgeleden ontdekt, waarbij ook duidelijk werd dat er inmiddels al exploitkits bestaan waarmee het lek kan worden misbruikt. Het stelt kwaadwillenden in staat om ongemerkt schadelijke software op een computer te installeren, waardoor gebruikers dus vatbaar zijn voor virussen en andere malware. Apple nam al maatregelen door de Java-plugin voor de browser op OS X te blokkeren. De Amerikaanse overheidsinstantie US-Cert raadt gebruikers aan om Java niet langer te gebruiken.
Reacties (50)
Gho, Apple blokkeerde het een dag geleden(nieuws: Apple blokkeert Java op Mac OS X En nu gaan ze aan de slag.
Waarom zijn ze niet eerder begonnen ??
Waarom zijn ze niet eerder begonnen ??
[Reactie gewijzigd door rickboy333 op 13 januari 2013 13:26]
Ik vind het jammer dat ik java nodig heb voor skillsoft website, anders had ik het er al lang af gegooid.
Kan je niet whitelisten? Plugins alleen toestaan op die website? Dan is het toch wel (redelijk) veilig?
Wie zegt dat ze niet eerder begonnen zijn? Gisteren is er pas een formeel persbericht uitgekomen.
Ik vraag me eerder af, waarom (mogelijk) pas een fix in februari? Zullen er in een maand tijd niet veel infecties plaats kunnen nemen? Ik vind het weer nogal laks klinken van Oracle. Maar goed, dat zal niet de eerste keer zijn dat ze wachten met een nood-patch.
Mooi
Ik gebruik wel noscript plugin in Firefox, maar het is toch altijd beter dat dergelijke lekken in de software zo snelmogelojk opgelost geraken. Momenteel zelfs Java verwijderd en browserplugins gedisabeld. Tot de fix. (En Apple had hun gebruikers ook beter de mogelijkheid gegeven om het allemaal zelf te doen, want Java is nogal redelijk gebruikt voor veel zaken online)
Ik gebruik wel noscript plugin in Firefox, maar het is toch altijd beter dat dergelijke lekken in de software zo snelmogelojk opgelost geraken. Momenteel zelfs Java verwijderd en browserplugins gedisabeld. Tot de fix. (En Apple had hun gebruikers ook beter de mogelijkheid gegeven om het allemaal zelf te doen, want Java is nogal redelijk gebruikt voor veel zaken online)
Je kunt het beter andersom doen: browser plug-ins verwijderen en Java (eventueel) uitschakelen. Gewoon Java is alleen kwetsbaar als je zelf iets stoms download en het dan uitvoert. Dus dan heb je de fout sowieso al begaan. De browser plug-in daarentegen voert uit wat het voorgeschoteld krijgt en door dit lek kan code buiten de sandbox komen waardoor kwaadwillende code uitgevoerd kan worden.
Dat kan in theorie, maar Java maakt dit bijzonder lastig om op een normale manier in te stellen. In IE kan je bijvoorbeeld in de manage ad-ons instellen dat hij niet op elke site mag laden. In firefox weet ik hiervoor geen methode, behalve met externe ad-ons oid (noscript?). Het zou fijn zijn als het gewoon vanuit het java-control-panel kon en dan voor alle browsers geldig was. Bovendien zou het makkelijk centraal beheerd moeten kunnen worden voor in bedrijfsomgevingen.
[Reactie gewijzigd door woekele op 13 januari 2013 13:54]
OF addons geladen mogen worden of niet is toch echt een zaak van de browser dacht ik zo.
Ik zou nu zo langzamerhand wel eens duidelijkheid willen hebben.
Zit deze bug nu:
In de Java runtime
In de Java browser plugin
In allebei
??
Tweakers heeft het steed over een 'Java lek', maar het maakt nogal wat uit of alleen de browser plugin een lek heeft of echt de Java runtime.
Verder stelt Tweakers steeds dat de Amerikaanse overheid gebruikers aanraadt Java niet langer te gebruiken, maar ook daar vraag ik me af of er soms wat nuance verloren gegaan is in de vertaling. Volgens andere bronnen raadt men alleen aan de Java browser plugin uit te schakelen of te de-installeren.
Het verschil is nogal belangrijk. In het ene geval zijn namelijk alleen applets gevaarlijk en zou een simpele uninstall van de plugin voldoen. In het andere geval zouden *alle* Java applicaties potentieel gevaarlijk zijn...
Overigens zou in het laatste geval er nog steeds niet zoveel verschil zijn met normale applicaties, want ook die kun je maar beter niet zomaar klakkeloos uitvoeren.
Al met al veel berichtgeving van Tweakers over dit onderwerp, maar weinig duidelijkheid. Ik kan natuurlijk zelf alle bronnen gaan lezen, maar dat is toch één van de dingen waarvoor ik graag op Tweakers terug zou vallen. Dus, redactie, als jullie dit punt zouden kunnen verduidelijken... Graag!
Zit deze bug nu:
In de Java runtime
In de Java browser plugin
In allebei
??
Tweakers heeft het steed over een 'Java lek', maar het maakt nogal wat uit of alleen de browser plugin een lek heeft of echt de Java runtime.
Verder stelt Tweakers steeds dat de Amerikaanse overheid gebruikers aanraadt Java niet langer te gebruiken, maar ook daar vraag ik me af of er soms wat nuance verloren gegaan is in de vertaling. Volgens andere bronnen raadt men alleen aan de Java browser plugin uit te schakelen of te de-installeren.
Het verschil is nogal belangrijk. In het ene geval zijn namelijk alleen applets gevaarlijk en zou een simpele uninstall van de plugin voldoen. In het andere geval zouden *alle* Java applicaties potentieel gevaarlijk zijn...
Overigens zou in het laatste geval er nog steeds niet zoveel verschil zijn met normale applicaties, want ook die kun je maar beter niet zomaar klakkeloos uitvoeren.
Al met al veel berichtgeving van Tweakers over dit onderwerp, maar weinig duidelijkheid. Ik kan natuurlijk zelf alle bronnen gaan lezen, maar dat is toch één van de dingen waarvoor ik graag op Tweakers terug zou vallen. Dus, redactie, als jullie dit punt zouden kunnen verduidelijken... Graag!
En inderdaad, bij Chrome kan het gewoon. Je kan uitzonderingen per site toevoegen. Zowel voor toestaan, vragen als blokkeren.
Uit nieuws: Nieuw beveiligingsprobleem Java wordt mogelijk al misbruikt:
De oplossing staat daar ook gemeld:
EDIT: en zoals je zelf trouwens ook al zegt, als het Java op je systeem was dan was je sowieso al de Sjaak: je hebt het al 'geinstalleerd' en je voert het op je systeem uit. Dan heeft de VM al genoeg rechten om aanpassingen te maken dus is het lek niet nodig: dat zou juist een omweg zijn.
Overgiens ben ik het wel met je eens, het lijkt eerder op een vertaald/gekopieerd bericht dan dat ze er zelf wat toevoegingen aan gedaan hebben.
Dus even kijken hoe Alien Vault het heeft gedaan: http://labs.alienvault.co...ew-year-new-java-zeroday/Beveiligingsbedrijf Alien Vault heeft het beveiligingsprobleem met de informatie die Kafeine beschikbaar heeft gesteld nu weten te reproduceren. Ze wisten eigen code uit te voeren met behulp van het lek, op een volledig gepatchte Windows-installatie met Java.
De oplossing staat daar ook gemeld:
Was dat een antwoord?Right now the only way to protect your machine against this exploit is disabling the Java browser plugin. Let’s see how long does it take for Oracle to release a patch.
EDIT: en zoals je zelf trouwens ook al zegt, als het Java op je systeem was dan was je sowieso al de Sjaak: je hebt het al 'geinstalleerd' en je voert het op je systeem uit. Dan heeft de VM al genoeg rechten om aanpassingen te maken dus is het lek niet nodig: dat zou juist een omweg zijn.
Overgiens ben ik het wel met je eens, het lijkt eerder op een vertaald/gekopieerd bericht dan dat ze er zelf wat toevoegingen aan gedaan hebben.
[Reactie gewijzigd door Cheap Apps op 13 januari 2013 14:09]
Wie zegt dat de nood patch pas in februari komt. Oracle heeft dat niet aangegeven. De reguliere patchdatum ligt in februari dat is feitelijk het enige wat er staat en verder wordt er niets duidelijk gemaakt.
Dit is ook wat ik eerst dacht... echter volgens Reuters stelt Oracle dat het lek alleen in Java 7 zit.... Bedoelt men daar dan mee alleen de browser plugin die bij Java 7 wordt geleverd?
Verder zou ik me nog voor kunnen stellen dat als het een lek in de runtime zou zijn, dat het dan bijvoorbeeld in de sockets implementatie zou kunnen zitten, zodat ook vertrouwde Java applicaties die een server draaien gevaarlijk zouden kunnen zijn omdat die het lek exploiteerbaar zouden kunnen maken.
Jammer dat Oracle niet wat meer duidelijkheid geeft. Geen datum voor de fix en ook geen instructies wat je moet doen om Java veilig te kunnen blijven gebruiken... Eigenlijk alleen de mededeling dat ze het 'binnenkort' gaan fixen. Tja dat lijkt me nogal wiedes dat je een kritiek veiligheidslek niet ongefixed laat....
Verder zou ik me nog voor kunnen stellen dat als het een lek in de runtime zou zijn, dat het dan bijvoorbeeld in de sockets implementatie zou kunnen zitten, zodat ook vertrouwde Java applicaties die een server draaien gevaarlijk zouden kunnen zijn omdat die het lek exploiteerbaar zouden kunnen maken.
Jammer dat Oracle niet wat meer duidelijkheid geeft. Geen datum voor de fix en ook geen instructies wat je moet doen om Java veilig te kunnen blijven gebruiken... Eigenlijk alleen de mededeling dat ze het 'binnenkort' gaan fixen. Tja dat lijkt me nogal wiedes dat je een kritiek veiligheidslek niet ongefixed laat....
Ik weet niet hoe het zit, maar voor je misbruik kan maken van een gat moet je er eerst bij komen. De beveiliging van mijn koelkast is bijzonder slecht, maar zolang je niet door mijn voordeur kan is dat geen probleem.Ik zou nu zo langzamerhand wel eens duidelijkheid willen hebben.
Zit deze bug nu:
In de Java runtime
In de Java browser plugin
In allebei
De java browser plugin is zelf een soort voordeur. Als daar een probleem in zit dan is het vrij eenvoudig om er bij te komen en er misbruik van te maken. Als een willekeurige java applicatie een bug heeft hoeft dat geen probleem te zijn als die applicatie niks met het netwerk doet.
Bij Apple moet ik altijd even denken of ze dit uit eigen gewin blokkeren, of omdat ze dit daadwerkelijk een groot gevaar vinden.
Neemt niet weg dat Oracle hier slordig mee omspringt. Ook al is dit gratis software; enige verantwoordelijkheid zou ze sieren.
Neemt niet weg dat Oracle hier slordig mee omspringt. Ook al is dit gratis software; enige verantwoordelijkheid zou ze sieren.
De browser plugin maakt het mogelijk om een java applet te draaien in de browser. Vergeet niet dat er een verschil zit tussen java en javascript. Java is een plugin zoals bijvoorbeeld een PDF reader. De basis tussen de plugin en de stand-alone software is identiek. Als de software kwetsbaar is, is de kans het grootst dat het zowel in de plugin als in de stand alone runtime zit.
Nee, maar als er een bug in de Java runtime zelf zou zitten (en die indruk wekt Tweakers steeds) dan zou dat vergelijkbaar zijn met een bug in je OS; elke applicatie die er op draait zou erdoor geraakt worden.
Gecombineerd met het feit dat applets vrij weinig gebruikt worden maakt dit nogal een verschil. In het ene geval zet je de Java browser plugin uit en ben je klaar. In het andere geval moet je je zorgen maken om elke Java applicatie die je draait en zeker op (web) servers wordt Java vrij veel gebruikt. Zijn er nu dus duizenden of miljoenen websites kwetsbaar die Java gebruiken voor de implementatie van de backend, of is dit puur een client probleem?
Gecombineerd met het feit dat applets vrij weinig gebruikt worden maakt dit nogal een verschil. In het ene geval zet je de Java browser plugin uit en ben je klaar. In het andere geval moet je je zorgen maken om elke Java applicatie die je draait en zeker op (web) servers wordt Java vrij veel gebruikt. Zijn er nu dus duizenden of miljoenen websites kwetsbaar die Java gebruiken voor de implementatie van de backend, of is dit puur een client probleem?
Ze zijn zeker eerder begonnen, een persbericht met de mededeling dat ze er mee bezig zijn maar niet weten hoe het duurt voordat het is opgelost heeft niemand wat aan en zorgt alleen maar voor extra bezorgdheid.
Je gaat dus eerst uitzoeken wat het probleem is, dan weet je ook ongeveer hoe lang het duurt om het op te lossen en dan gooi je een persbericht de deur uit.
Lijkt mij niet minder dan logisch, Apple heeft hier dus heeelemaal niks mee te maken.
"binnenkort" betekent waarschijnlijk dat de fix niet heel omvangrijk is en dus snel gedaan kan worden.
Je gaat dus eerst uitzoeken wat het probleem is, dan weet je ook ongeveer hoe lang het duurt om het op te lossen en dan gooi je een persbericht de deur uit.
Lijkt mij niet minder dan logisch, Apple heeft hier dus heeelemaal niks mee te maken.
"binnenkort" betekent waarschijnlijk dat de fix niet heel omvangrijk is en dus snel gedaan kan worden.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
