Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 50, views: 16.885 •

Oracle heeft te kennen gegeven dat het recent ontdekte beveiligingsprobleem in Java binnenkort wordt gerepareerd. Een eventuele datum voor de release kon de softwaremaker niet geven. Wel is bekend dat de eerstvolgende patchronde in februari is.

Dat zei Oracle in een statement waar Reuters over bericht. Alhoewel de softwaremaker geen verdere details kwijtwilde over de releasedatum, is het mogelijk dat de fix met de patchronde in februari wordt uitgebracht: eerder was de vraag of Oracle nog op tijd een oplossing kon vinden, maar omdat de softwarebouwer stelt binnenkort het lek te zullen repareren, lijkt dat te zijn gelukt. Daarnaast maakte het bedrijf bekend dat het lek zich alleen in Java 7 bevindt. Eerder werd gesuggereerd dat alle versies van het platform vatbaar zijn.

Het lek in Java werd kortgeleden ontdekt, waarbij ook duidelijk werd dat er inmiddels al exploitkits bestaan waarmee het lek kan worden misbruikt. Het stelt kwaadwillenden in staat om ongemerkt schadelijke software op een computer te installeren, waardoor gebruikers dus vatbaar zijn voor virussen en andere malware. Apple nam al maatregelen door de Java-plugin voor de browser op OS X te blokkeren. De Amerikaanse overheidsinstantie US-Cert raadt gebruikers aan om Java niet langer te gebruiken.

Reacties (50)

De bug zit in de Java plugin die door je webbrowser wordt gebruikt en dan ook nog eens alleen in versie 7. Heb je een andere versie dan heb je dus geen last van dit lek. Lokaal kun je Java ook nog draaien voor applicaties als Freemind. De lokale Java versie heeft dit lek niet ongeacht welke versie die moge zijn.

Dit artikel en het vorige artikel van Tweakers.net is totaal onjuist als het over de Amerikaanse overheid gaat. Het heet niet Cert maar US-CERT welke vergelijkbaar is met wat wij hier in Nederland kennen als GOVCERT/waarschuwingsdienst.nl (tegenwoordig wellicht beter bekend van de organisatie waar ze nu onderdeel van uit maken: Nationaal Cyber Security Centrum: NCSC). Beiden zijn zogenaamde CERT: Computer Emergency Response Team. De term CERT is inmiddels door copyright beschermd (wtf?!). Daardoor zie je tegenwoordig ook de term CSIRT. Het is een andere naam voor hetzelfde beestje. Menig grote organisatie heeft wel een CERT. Het idee is dat dit team de security van de eigen computersystemen bewaakt. Bij organisaties als US-CERT en NCSC/waarschuwingsdienst.nl geldt dit voor de gehele bevolking omdat het overheidsinstanties zijn. Zij beoordelen de diverse risico's en bepalen wat te doen. In dit geval waarschuwen ze mensen voor dit Java lek en geeft men als advies om de plugin in de webbrowser uit te schakelen.

Een aantal browserfabrikanten hebben het voortouw genomen. Inmiddels zijn Chrome, Firefox en Safari (in dit geval is het eigenlijk OS X die blokkeert waardoor Safari ook niks kan) browsers die standaarde de Java plugin blokkeren. Mocht je een andere webbrowser hebben dan is het dus wel aan te raden om te kijken wat zij doen. Wanneer ze niks doen zul je dus zelf de plugin moeten uitschakelen of (tijdelijk) overstappen naar een webbrowser die hem uitgeschakeld heeft.

Anyway, US-CERT heeft het gehele verhaal kort maar krachtig in een bulletin online gezet: Alert (TA13-010A): Oracle Java 7 Security Manager Bypass Vulnerability. Indien gewenst kun je je ook laten inschrijven bij hun voor dit soort bulletins. Je krijgt ze dan per mail. Dit kun je ook bij waarschuwingsdienst.nl. Zij hebben over dit lek de volgende informatie online staan: WD-2013-007 Kwetsbaarheid in Java Browser Plugin ontdekt.
Er is een update uitgebracht, Versie 7 Update 11. Zie: http://www.oracle.com/tec...vase/downloads/index.html

Releasenotes: http://www.oracle.com/tec...u11-relnotes-1896856.html

Security Fixes: http://www.oracle.com/tec...ve-2013-0422-1896849.html

[Reactie gewijzigd door alm op 13 januari 2013 21:41]

Op dit item kan niet meer gereageerd worden.