Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 42, views: 18.610 •

Oracle heeft een tussentijdse patch uitgegeven voor Java, nadat een nieuw lek in de software actief misbruikt zou worden. Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.

JavaHet beveiligingsprobleem dat door Java-eigenaar Oracle is gepatcht kwam vorige week aan het licht en werd al actief misbruikt. Dat Oracle een tussentijdse patch uitbrengt, zegt wat over de ernst van het lek; normaliter houdt Oracle vast aan een driemaandelijkse patchronde, net zoals Microsoft dat normaliter één keer per maand doet.

Oracle adviseert de update zo snel mogelijk te installeren, omdat er aanwijzingen zijn dat het lek wordt misbruikt. Eerder al claimde beveiligingsbedrijf Alien Vault dat een exploit was opgenomen in de veelgebruikte BlackHole-exploitkit. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Naast het misbruikte lek lost de beveiligingsupdate nog een ander beveiligingsprobleem op. Daarnaast worden de standaardbeveiligingsinstellingen verscherpt; deze staan nu op 'high'. Dat heeft onder meer tot gevolg dat software zonder certificaat en software die self-signed is, niet langer standaard wordt uitgevoerd. Gebruikers moeten daar specifiek voor kiezen. Software met een geldig certificaat wordt wel nog bij het laden uitgevoerd.

Beveiligingsonderzoekers blijven desondanks kritisch over de software. HD Moore, die achter de populaire penetratietestingsoftware Metasploit zit, zegt tegen Reuters dat het het veiligst is 'om aan te nemen dat Java altijd onveilig zal zijn'. Volgens hem zal het nog jaren duren voordat alle beveiligingsproblemen in Java zijn opgelost. De onderzoeker Adam Gowdiak, die tientallen beveiligingsproblemen in Java heeft gevonden, durft gebruikers nog niet aan te raden om Java in te schakelen.

Reacties (42)

Java auto-updater kwam er gistern avond al mee. Meteen maar gedaan O-)

Maar dan vraag ik me toch af... Hoe komt het dat zoiets zoveel lekken kan bevatten... Want ik neem aan dat men wel weet wat ze doen daaro... :?
Tsja, de JRE is een erg uitgebreid applicatie framework en dan moet je heel erg veel vertrouwen hebben dat de browser plugin (de brug tussen het applicatie framework en het grote boze WWW), zodanig perfect is dat 'vreemde code' op het web nooit iets schadelijks op het lokale systeem kan doen. Het is een fundamentele zwakte van client-side scripting in de browser, dit geldt net zo goed voor HTML5/JS, Flash, Silverlight, JavaFX, ActiveX, etc. Wil je daar van af, dan moeten we terug naar een web met alleen statische HTML.

Wat kan je er aan doen, niet zo veel. Bugs vinden en blijven updaten. Het is allemaal open source dus iedereen kan meedoen.

[Reactie gewijzigd door Dreamvoid op 14 januari 2013 09:52]

Voor Flash, Silverlight en ActiveX geld dat inderdaad zeker.
Maar voor HTML5 zijn er toch HEEL wat meer regels over het niet mogen benaderen van het bestandssysteem en dus ook het niet kunnen starten van applicaties.
Hierdoor zijn HTML5 en JavaScript een stuk veiliger by-design.
Alles waarbij je als client zonder check 'vreemde' code draait is fundamenteel onveilig en is 100% afhankelijk van een foutloze implementatie. Voor Java zijn er ook heel veel regels dat applets niet met admin rechten buiten de JVM sandbox dingen mogen uitvoeren, en toch gebeurt het. JavaScript exploits die door de browser sandbox heen breken zijn er ook bij bosjes. "By-design" zijn ze allemaal theoretisch 100% veilig. "By-implementation" geen van allen.

[Reactie gewijzigd door Dreamvoid op 14 januari 2013 10:23]

Dat is het security model van hun scripting code. Maar bugs in de implementatie daarvan zijn iets anders.
Statische HTML is net zo kwetsbaar. Hoe vaak is het al voorgekomen dat een buffer overrun is gebruikt met laden van plaatjes? Om er maar is 1 te noemen.
Tsja, daar heb je idd weer gelijk in, je image renderer is ook weer een attack vector. De treurige conclusie: je bent nergens veilig.

Het is allemaal misgegaan toen ze de <img> tag toevoegden aan HTML :)

[Reactie gewijzigd door Dreamvoid op 14 januari 2013 10:13]

Tsja, er is een gouden regeltje in software land (misschien tegenwoordig outdated? Dit gold iig ~5jaar geleden)

'In elke 1000 regels code zal er altijd een bug zijn die niet opgelost zal worden'.

Reken maar uit hoeveel regels code de JRE bevat en daar is je antwoord op je vraag.

Elke bug is een potentieel beveiligings risico.
nog een regel die ik wel vaker gehoord heb (zowel NL als EN):
"Elke bugfix is weer een opening naar een nieuwe bug."
"A bugfix is nothing more than creating a new bug"

Het is gewoon lekken dichten en blijven dweilen met de spreekwoordelijke kraan open. Zo houdt je mensen van de straat.
Dit klopt, als men stopt met nieuwe functionaliteit er bij te doen en alleen focusen op bug fixing dan kunnen ze nog jaren bezig zijn.

Het is immers door mensen gemaakt en andere mensen blijven met groot genoegen zoeken naar zwaktes om er misbruik te maken. Zoals je al leest is alle plugin technologie een potentiele lek niet alleen java, flash had/heeft hier er ook veel last van.

Vaak kan je al zien wanneer een website beetje onveilig is. maar de gemiddelde gebruiker dentk anders dan een tweaker die alles in controll wilt zijn etc. En daar maken hackers/crackers veel gebruik van.

Ik vind het netjes dat Oracle zo snel reageert maar je weet gewoon dat over een tijdje weer een andere toko aan de beurt is met een kritieke lek waar veel misbruik van gemaakt wordt. Het is gewoon een fijt en realiteit van de hedendaagse gebruik.
Oracle reageert alleen maar zo snel, omdat er zeer veel druk op hun is uitgeoefend. Niet voor niets waarschuwde de Amerikaanse overheid om java niet meer te gebruiken.

Daar reageert Oracle eerder op dan op een grote groep consumenten
Waarom zou Oracle in vredesnaam treuzelen met het patchen van hun belangrijkste applicatie framework?
Tsja, zolang Java zoveel gebruikt wordt, kun je het onveilig noemen, maar het is een vrij essentieel onderdeel van je OS. Op zich hebben ze het uiteindelijk nog redelijk snel opgelost. In het vorige nieuwsbericht werd nog gesuggereerd dat dat wellicht met de eerstvolgende patchronde in februari zou gebeuren. Gelukkig hebben ze daar niet op gewacht (zou ook schandalig zijn geweest).

@Blokker_1999: Dat bedoel ik ook: Tweakers.net suggereert op z'n minst dat het pas in februari zou plaatsvinden. Het is jammer dat je dus de bronnen moet controleren om erachter te komen dat dit (niet lullig bedoeld) uit de duim gezogen is.

[Reactie gewijzigd door Grrrrrene op 14 januari 2013 11:20]

Ik vind Java verre van essentieel voor mijn OS. Het enige op een consumenten PC waarbij java gebruikt wordt zover ik heb kunnen zien, is vooral java applets.

Pas als je in businessomgevingen komt zie je dat java vaker gebruikt wordt aan de client kant. (Aan de server kant nog wat meer)
Ik ken anders maar bijzonder weinig mensen die daadwerkelijk applets moeten gebruiken. Sommige web-based remote desktop omgevingen gebruiken het, maar dat is volgens mij maar een kleine groep. Verder zijn er nog een paar online spelletjes die het gebruiken, maar die zijn ver in de minderheid en er bestaan voldoende alternatieven in flash.

Ik gooi de java browser plug-in er altijd standaard af als ik iemand zijn PC onderhoud. Java kan je gewoon geinstalleerd hebben staan zonder kwetsbaar te zijn.
Neen, in het vorige bericht werd gemeld dat nog geen datum bekend was en smeet de auteur er nog even tussen dat een volgende patchronde voor java pas in februari komt (waarom weet ik niet). Oracle heeft nooit beweerd dat de patch pas in die patchronde zou zitten, Dat is een conclusie die vele tweakers getrokken hebben na dat artikel. Vraag blijft wel waarom de auteur er voor koos om die patchronde te vermelden in het artikel aangezien er in de bron met geen woord over word gerept.
Als je java installeert staat er dit: 3 billion devices run java

Heel veel en bijna iedereen gebruikt java. Het is onvermijdelijk geworden dus eigenlijk gebruik je het toch wel terwijl er ook lekken in zitten zelfde geval met Windows.

Uiteindelijk worden deze lekken toch wel gedicht en als je er toch bang voor bent kijk dan goed uit voor onbekende software en vooral java applets die in een html pagina zitten. Het is niet voor niets dat je browser zon irritant pop-upje tevoorschijn haalt met weet u zeker dat u java op deze pagina wilt toestaan.
Ben ik het niet mee eens. Nou wil ik mijn computergebruik niet typeren als "gemiddeld gebruik", ongeveer een half jaar geleden heb ik java gedeïstalleerd nadat er een groot lek was ontdekt. Tot nu toe heb ik nog geen reden gehad om dit opnieuw te installeren. Ik ben geen webontwikkelaar maar kan het niet zijn dat men tegenwoordig sneller andere wegen bewandelt naar Rome?
Na, Java is verre van essentieel, anders werd het overal wel standaard meegeleverd. Dat er veel software is die Java gebruikt is weer een ander verhaal. Java in je browser is al helemaal ver weg van essentieel - de meeste mensen gebruiken het niet eens.
titel doet het lijken alsof de patch het lek misbruikt... slechte keuze

het is een zeer krachtige taal maar jammer dat het zo lek is als een mandje
Is al gemeld in het daarvoor bestemde topic.
Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.
Erg handig om dit zo tussendoor te doen voor bedrijven. Mocht er een applet die ergens in de organisatie gebruikt wordt (enkel op het intranet) dus geen certificaat hebben kan het dus al niet zomaar even gepatched worden. En voordat alle applets getest zijn..... Hier had het toch handiger geweest om het in een aparte update te stoppen (of de 3 maandelijkse).

[Reactie gewijzigd door trix0r op 14 januari 2013 09:01]

Het wordt niet langer automatisch uitgevoerd. Dat wil dus zeggen dat je waarschijnlijk een melding krijgt dat het certificaat ongeldig is (doorgaan op eigen risico), zoals je ook meldingen krijgt als een https-site geen geldig SSL/TLS-certificaat heeft.

Gebruikers gaan dat niet leuk vinden, maar ik verwacht dat je wel ergens een whitelist kunt bijhouden.

[Reactie gewijzigd door Grrrrrene op 14 januari 2013 09:04]

Welke versie(s) zijn de nieuwe gepatche versie nu?
Versie 7 update 11 is net bij mij geinstalleerd.

Wel jammer dat ze Ask Jeeves mee willen installeren. Wanneer houden ze daar nou eens mee op? Microsoft wil toch ook niet bij elke update de Bing toolbar, o.i.d. installeren?
Microsoft krijgt geen geld bij elke installatie, Oracle wel (wat me nog steeds erg verbaast overigens).
Nee, Microsoft wil bij elke niet essentieel pakketje (Windows Live en Skype b.v.) Bing meeleveren. Net zo irritant!
Score: Spotlight, waarom? Java installer loopt behoorlijk vaak te klooien op meerdere systemen, soms installeer je een update en dan zegt de updater alsnog er is een nieuwe versie (loop dus).

Versie 7 Update 11 dus, goed om te weten.
hmm, een actief misbruikt lek patchen voordat het actief misbruikt wordt lijkt me een uiterst curieuze bezigheid :P
Thems be time traveling.. ya know! :+

Maar even serieus.
Een lek is of gepatched VOOR deze actief misbruikt werd of gepatched NA deze actief gebruikt werd.
Ik snap dus inderdaad niet wat hier staat (net zoals hierboven).
Er is nog steeds twijfel of het lek wel gedicht is...
http://www.reuters.com/ar...ity-idUSBRE90C0JB20130114
Tsja, client-side scripting blijft gevaarlijk. Maar ik zie niet zo snel wat je er fundamenteel aan kan doen. Terug naar statische HTML, wie wil dat nog?
Ik neem aan dat deze tussentijdse update is ingegeven doordat Java op de Mac is geblokkeerd door Apple:
http://tweakers.net/nieuw...ert-java-op-mac-os-x.html

Lijkt me logisch dat Oracle zsm zijn Java weer werkend will hebben op OS X.
Hoe update ik nu Java op m'n Mac, sinds Java niet meer via Apple Sotware Update wordt geleverd?
Hoe update ik nu Java op m'n Mac, sinds Java niet meer via Apple Sotware Update wordt geleverd?
Via het Java regelpaneel.
Mocht je de melding krijgen dat het geblokkeerd is wegens een oude versie dan staat bij die melding ook direct een update knop.
Grappig, tijdens mijn studie (+/- 8 jaar geleden) werd uitgelegd dat één van de grote voordelen van Java was dat het zo veilig was omdat het in z'n eigen virtual machine draaide en de ontwikkelaar minimale toegang tot het OS had.
Tegenwoordig draait alles in een sandbox: Javascript in de browser, je Windows applicaties in het managed .NET Framework, Cocoa apps in de OS X sandbox, Android in de Dalvik VM, etc. Uiteindelijk gaat het om de kwaliteit van de virtuele machine.
Dit heb ik dus ook meegekregen tijdens mijn studie.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013