Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties, 18.642 views •

Oracle heeft een tussentijdse patch uitgegeven voor Java, nadat een nieuw lek in de software actief misbruikt zou worden. Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.

JavaHet beveiligingsprobleem dat door Java-eigenaar Oracle is gepatcht kwam vorige week aan het licht en werd al actief misbruikt. Dat Oracle een tussentijdse patch uitbrengt, zegt wat over de ernst van het lek; normaliter houdt Oracle vast aan een driemaandelijkse patchronde, net zoals Microsoft dat normaliter één keer per maand doet.

Oracle adviseert de update zo snel mogelijk te installeren, omdat er aanwijzingen zijn dat het lek wordt misbruikt. Eerder al claimde beveiligingsbedrijf Alien Vault dat een exploit was opgenomen in de veelgebruikte BlackHole-exploitkit. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Naast het misbruikte lek lost de beveiligingsupdate nog een ander beveiligingsprobleem op. Daarnaast worden de standaardbeveiligingsinstellingen verscherpt; deze staan nu op 'high'. Dat heeft onder meer tot gevolg dat software zonder certificaat en software die self-signed is, niet langer standaard wordt uitgevoerd. Gebruikers moeten daar specifiek voor kiezen. Software met een geldig certificaat wordt wel nog bij het laden uitgevoerd.

Beveiligingsonderzoekers blijven desondanks kritisch over de software. HD Moore, die achter de populaire penetratietestingsoftware Metasploit zit, zegt tegen Reuters dat het het veiligst is 'om aan te nemen dat Java altijd onveilig zal zijn'. Volgens hem zal het nog jaren duren voordat alle beveiligingsproblemen in Java zijn opgelost. De onderzoeker Adam Gowdiak, die tientallen beveiligingsproblemen in Java heeft gevonden, durft gebruikers nog niet aan te raden om Java in te schakelen.

Reacties (42)

Reactiefilter:-142042+133+22+30
Moderatie-faq Wijzig weergave
Je zou verwachten dat deze zo langzamerhand wel in de meuktracker te vinden was...

Niet dat het nou zo spannend is, bij mij kwam de update automagisch binnen zoals waarschijnlijk bij de meeste non-tweakers, maar toch...
Dit heb ik dus ook meegekregen tijdens mijn studie.
Score: Spotlight, waarom? Java installer loopt behoorlijk vaak te klooien op meerdere systemen, soms installeer je een update en dan zegt de updater alsnog er is een nieuwe versie (loop dus).

Versie 7 Update 11 dus, goed om te weten.
Tsja, client-side scripting blijft gevaarlijk. Maar ik zie niet zo snel wat je er fundamenteel aan kan doen. Terug naar statische HTML, wie wil dat nog?
Nee, Microsoft wil bij elke niet essentieel pakketje (Windows Live en Skype b.v.) Bing meeleveren. Net zo irritant!
hmm, een actief misbruikt lek patchen voordat het actief misbruikt wordt lijkt me een uiterst curieuze bezigheid :P
Microsoft krijgt geen geld bij elke installatie, Oracle wel (wat me nog steeds erg verbaast overigens).
Is al gemeld in het daarvoor bestemde topic.
titel doet het lijken alsof de patch het lek misbruikt... slechte keuze

het is een zeer krachtige taal maar jammer dat het zo lek is als een mandje
Als ze nou ook eens alle problemen omtrend UAC eindelijk eens zouden oplossen.

De auto-updater opent anno 2013 nog steeds een UAC prompt enkel om de gebruiker te melden dat er een update is. Fijn als je net fullscreen aan het gamen was, of fullscreen een video aan het kijken was. (Nog fijner als de desbetreffende fullscreen applicatie er niet goed mee om kan gaan als deze door UAC weg geduwd wordt en dus gewoon zou crashen...)

Kies je vervolgens om Java te updaten; gaat de auto-updater eerst een paar minuten lang zonder UI feedback files downloaden terwijl de gebruiker maar moet raden dat er iets draait en niet het hele ding de soep in is gelopen. Is de update eenmaal binnen en gestart krijg je fijn de melding "Downloaded file <foo.dll> is corrupt".

Dat file is dan weer niet echt corrupt; de updater houdt gewoon niet correct rekening met UAC en na het downloaden van de update wordt de installer zonder administrator rechten gestart. "Geen permissie om deze files te lezen" betekent voor Oracle's half-bakken installer alleen hetzelfde als "deze files zijn corrupt".

Gelukkig kun je de update procedure correct met de hand opstarten door javacpl.exe op te zoeken in je /jre_<version>/bin folder, deze met administrator rechten op te starten en dan in het update paneel "update now" te kiezen. Via het control panel werkt niet goed, want dan wordt javacpl.exe ook gestart zonder administratie rechten.
(Dit is trouwens ook de reden dat aanpassingen aan de auto-update instellingen niet opgeslagen worden. Ook zoiets wat al jaren voor problemen zorgt maar nooit opgelost is. Om het allemaal wat leuker te maken reset deze instelling ook nog eens na elke update, net zoals de nieuwe Adobe Flash installers...)


Java lijkt nog steeds een interessante use-case te zijn in hoe software zo gebruiksonvriendelijk mogelijk in elkaar gezet kan worden...

[Reactie gewijzigd door R4gnax op 14 januari 2013 19:45]

Ben ik het niet mee eens. Nou wil ik mijn computergebruik niet typeren als "gemiddeld gebruik", ongeveer een half jaar geleden heb ik java gedeīstalleerd nadat er een groot lek was ontdekt. Tot nu toe heb ik nog geen reden gehad om dit opnieuw te installeren. Ik ben geen webontwikkelaar maar kan het niet zijn dat men tegenwoordig sneller andere wegen bewandelt naar Rome?
Waarom zou Oracle in vredesnaam treuzelen met het patchen van hun belangrijkste applicatie framework?
Oracle reageert alleen maar zo snel, omdat er zeer veel druk op hun is uitgeoefend. Niet voor niets waarschuwde de Amerikaanse overheid om java niet meer te gebruiken.

Daar reageert Oracle eerder op dan op een grote groep consumenten
Dat is het security model van hun scripting code. Maar bugs in de implementatie daarvan zijn iets anders.
Die check op het certificaat is een goede toevoeging. Ik was zelf voorstander om de plugin gewoon helemaal niet meer standaard te distribueren, maar dit is een redelijk alternatief waardoor hij toch nog bruikbaar blijft.
Dit klopt, als men stopt met nieuwe functionaliteit er bij te doen en alleen focusen op bug fixing dan kunnen ze nog jaren bezig zijn.

Het is immers door mensen gemaakt en andere mensen blijven met groot genoegen zoeken naar zwaktes om er misbruik te maken. Zoals je al leest is alle plugin technologie een potentiele lek niet alleen java, flash had/heeft hier er ook veel last van.

Vaak kan je al zien wanneer een website beetje onveilig is. maar de gemiddelde gebruiker dentk anders dan een tweaker die alles in controll wilt zijn etc. En daar maken hackers/crackers veel gebruik van.

Ik vind het netjes dat Oracle zo snel reageert maar je weet gewoon dat over een tijdje weer een andere toko aan de beurt is met een kritieke lek waar veel misbruik van gemaakt wordt. Het is gewoon een fijt en realiteit van de hedendaagse gebruik.
Tegenwoordig draait alles in een sandbox: Javascript in de browser, je Windows applicaties in het managed .NET Framework, Cocoa apps in de OS X sandbox, Android in de Dalvik VM, etc. Uiteindelijk gaat het om de kwaliteit van de virtuele machine.
Thems be time traveling.. ya know! :+

Maar even serieus.
Een lek is of gepatched VOOR deze actief misbruikt werd of gepatched NA deze actief gebruikt werd.
Ik snap dus inderdaad niet wat hier staat (net zoals hierboven).
Mocht je de melding krijgen dat het geblokkeerd is wegens een oude versie dan staat bij die melding ook direct een update knop.
Hoe update ik nu Java op m'n Mac, sinds Java niet meer via Apple Sotware Update wordt geleverd?
Via het Java regelpaneel.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True