Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 42, views: 18.513 •

Oracle heeft een tussentijdse patch uitgegeven voor Java, nadat een nieuw lek in de software actief misbruikt zou worden. Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.

JavaHet beveiligingsprobleem dat door Java-eigenaar Oracle is gepatcht kwam vorige week aan het licht en werd al actief misbruikt. Dat Oracle een tussentijdse patch uitbrengt, zegt wat over de ernst van het lek; normaliter houdt Oracle vast aan een driemaandelijkse patchronde, net zoals Microsoft dat normaliter één keer per maand doet.

Oracle adviseert de update zo snel mogelijk te installeren, omdat er aanwijzingen zijn dat het lek wordt misbruikt. Eerder al claimde beveiligingsbedrijf Alien Vault dat een exploit was opgenomen in de veelgebruikte BlackHole-exploitkit. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Naast het misbruikte lek lost de beveiligingsupdate nog een ander beveiligingsprobleem op. Daarnaast worden de standaardbeveiligingsinstellingen verscherpt; deze staan nu op 'high'. Dat heeft onder meer tot gevolg dat software zonder certificaat en software die self-signed is, niet langer standaard wordt uitgevoerd. Gebruikers moeten daar specifiek voor kiezen. Software met een geldig certificaat wordt wel nog bij het laden uitgevoerd.

Beveiligingsonderzoekers blijven desondanks kritisch over de software. HD Moore, die achter de populaire penetratietestingsoftware Metasploit zit, zegt tegen Reuters dat het het veiligst is 'om aan te nemen dat Java altijd onveilig zal zijn'. Volgens hem zal het nog jaren duren voordat alle beveiligingsproblemen in Java zijn opgelost. De onderzoeker Adam Gowdiak, die tientallen beveiligingsproblemen in Java heeft gevonden, durft gebruikers nog niet aan te raden om Java in te schakelen.

Reacties (42)

Java auto-updater kwam er gistern avond al mee. Meteen maar gedaan O-)

Maar dan vraag ik me toch af... Hoe komt het dat zoiets zoveel lekken kan bevatten... Want ik neem aan dat men wel weet wat ze doen daaro... :?
Tsja, zolang Java zoveel gebruikt wordt, kun je het onveilig noemen, maar het is een vrij essentieel onderdeel van je OS. Op zich hebben ze het uiteindelijk nog redelijk snel opgelost. In het vorige nieuwsbericht werd nog gesuggereerd dat dat wellicht met de eerstvolgende patchronde in februari zou gebeuren. Gelukkig hebben ze daar niet op gewacht (zou ook schandalig zijn geweest).

@Blokker_1999: Dat bedoel ik ook: Tweakers.net suggereert op z'n minst dat het pas in februari zou plaatsvinden. Het is jammer dat je dus de bronnen moet controleren om erachter te komen dat dit (niet lullig bedoeld) uit de duim gezogen is.

[Reactie gewijzigd door Grrrrrene op 14 januari 2013 11:20]

titel doet het lijken alsof de patch het lek misbruikt... slechte keuze

het is een zeer krachtige taal maar jammer dat het zo lek is als een mandje
Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.
Erg handig om dit zo tussendoor te doen voor bedrijven. Mocht er een applet die ergens in de organisatie gebruikt wordt (enkel op het intranet) dus geen certificaat hebben kan het dus al niet zomaar even gepatched worden. En voordat alle applets getest zijn..... Hier had het toch handiger geweest om het in een aparte update te stoppen (of de 3 maandelijkse).

[Reactie gewijzigd door trix0r op 14 januari 2013 09:01]

Welke versie(s) zijn de nieuwe gepatche versie nu?
Ik vind Java verre van essentieel voor mijn OS. Het enige op een consumenten PC waarbij java gebruikt wordt zover ik heb kunnen zien, is vooral java applets.

Pas als je in businessomgevingen komt zie je dat java vaker gebruikt wordt aan de client kant. (Aan de server kant nog wat meer)
Het wordt niet langer automatisch uitgevoerd. Dat wil dus zeggen dat je waarschijnlijk een melding krijgt dat het certificaat ongeldig is (doorgaan op eigen risico), zoals je ook meldingen krijgt als een https-site geen geldig SSL/TLS-certificaat heeft.

Gebruikers gaan dat niet leuk vinden, maar ik verwacht dat je wel ergens een whitelist kunt bijhouden.

[Reactie gewijzigd door Grrrrrene op 14 januari 2013 09:04]

Is al gemeld in het daarvoor bestemde topic.
Ik ken anders maar bijzonder weinig mensen die daadwerkelijk applets moeten gebruiken. Sommige web-based remote desktop omgevingen gebruiken het, maar dat is volgens mij maar een kleine groep. Verder zijn er nog een paar online spelletjes die het gebruiken, maar die zijn ver in de minderheid en er bestaan voldoende alternatieven in flash.

Ik gooi de java browser plug-in er altijd standaard af als ik iemand zijn PC onderhoud. Java kan je gewoon geinstalleerd hebben staan zonder kwetsbaar te zijn.
Neen, in het vorige bericht werd gemeld dat nog geen datum bekend was en smeet de auteur er nog even tussen dat een volgende patchronde voor java pas in februari komt (waarom weet ik niet). Oracle heeft nooit beweerd dat de patch pas in die patchronde zou zitten, Dat is een conclusie die vele tweakers getrokken hebben na dat artikel. Vraag blijft wel waarom de auteur er voor koos om die patchronde te vermelden in het artikel aangezien er in de bron met geen woord over word gerept.
Tsja, de JRE is een erg uitgebreid applicatie framework en dan moet je heel erg veel vertrouwen hebben dat de browser plugin (de brug tussen het applicatie framework en het grote boze WWW), zodanig perfect is dat 'vreemde code' op het web nooit iets schadelijks op het lokale systeem kan doen. Het is een fundamentele zwakte van client-side scripting in de browser, dit geldt net zo goed voor HTML5/JS, Flash, Silverlight, JavaFX, ActiveX, etc. Wil je daar van af, dan moeten we terug naar een web met alleen statische HTML.

Wat kan je er aan doen, niet zo veel. Bugs vinden en blijven updaten. Het is allemaal open source dus iedereen kan meedoen.

[Reactie gewijzigd door Dreamvoid op 14 januari 2013 09:52]

Versie 7 update 11 is net bij mij geinstalleerd.

Wel jammer dat ze Ask Jeeves mee willen installeren. Wanneer houden ze daar nou eens mee op? Microsoft wil toch ook niet bij elke update de Bing toolbar, o.i.d. installeren?
Microsoft krijgt geen geld bij elke installatie, Oracle wel (wat me nog steeds erg verbaast overigens).
hmm, een actief misbruikt lek patchen voordat het actief misbruikt wordt lijkt me een uiterst curieuze bezigheid :P
Er is nog steeds twijfel of het lek wel gedicht is...
http://www.reuters.com/ar...ity-idUSBRE90C0JB20130114
Als je java installeert staat er dit: 3 billion devices run java

Heel veel en bijna iedereen gebruikt java. Het is onvermijdelijk geworden dus eigenlijk gebruik je het toch wel terwijl er ook lekken in zitten zelfde geval met Windows.

Uiteindelijk worden deze lekken toch wel gedicht en als je er toch bang voor bent kijk dan goed uit voor onbekende software en vooral java applets die in een html pagina zitten. Het is niet voor niets dat je browser zon irritant pop-upje tevoorschijn haalt met weet u zeker dat u java op deze pagina wilt toestaan.
Na, Java is verre van essentieel, anders werd het overal wel standaard meegeleverd. Dat er veel software is die Java gebruikt is weer een ander verhaal. Java in je browser is al helemaal ver weg van essentieel - de meeste mensen gebruiken het niet eens.
Nee, Microsoft wil bij elke niet essentieel pakketje (Windows Live en Skype b.v.) Bing meeleveren. Net zo irritant!
Voor Flash, Silverlight en ActiveX geld dat inderdaad zeker.
Maar voor HTML5 zijn er toch HEEL wat meer regels over het niet mogen benaderen van het bestandssysteem en dus ook het niet kunnen starten van applicaties.
Hierdoor zijn HTML5 en JavaScript een stuk veiliger by-design.
Tsja, client-side scripting blijft gevaarlijk. Maar ik zie niet zo snel wat je er fundamenteel aan kan doen. Terug naar statische HTML, wie wil dat nog?

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Privacy Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013