Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 42, views: 18.413 •

Oracle heeft een tussentijdse patch uitgegeven voor Java, nadat een nieuw lek in de software actief misbruikt zou worden. Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.

JavaHet beveiligingsprobleem dat door Java-eigenaar Oracle is gepatcht kwam vorige week aan het licht en werd al actief misbruikt. Dat Oracle een tussentijdse patch uitbrengt, zegt wat over de ernst van het lek; normaliter houdt Oracle vast aan een driemaandelijkse patchronde, net zoals Microsoft dat normaliter één keer per maand doet.

Oracle adviseert de update zo snel mogelijk te installeren, omdat er aanwijzingen zijn dat het lek wordt misbruikt. Eerder al claimde beveiligingsbedrijf Alien Vault dat een exploit was opgenomen in de veelgebruikte BlackHole-exploitkit. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Naast het misbruikte lek lost de beveiligingsupdate nog een ander beveiligingsprobleem op. Daarnaast worden de standaardbeveiligingsinstellingen verscherpt; deze staan nu op 'high'. Dat heeft onder meer tot gevolg dat software zonder certificaat en software die self-signed is, niet langer standaard wordt uitgevoerd. Gebruikers moeten daar specifiek voor kiezen. Software met een geldig certificaat wordt wel nog bij het laden uitgevoerd.

Beveiligingsonderzoekers blijven desondanks kritisch over de software. HD Moore, die achter de populaire penetratietestingsoftware Metasploit zit, zegt tegen Reuters dat het het veiligst is 'om aan te nemen dat Java altijd onveilig zal zijn'. Volgens hem zal het nog jaren duren voordat alle beveiligingsproblemen in Java zijn opgelost. De onderzoeker Adam Gowdiak, die tientallen beveiligingsproblemen in Java heeft gevonden, durft gebruikers nog niet aan te raden om Java in te schakelen.

Reacties (42)

Die check op het certificaat is een goede toevoeging. Ik was zelf voorstander om de plugin gewoon helemaal niet meer standaard te distribueren, maar dit is een redelijk alternatief waardoor hij toch nog bruikbaar blijft.
Als ze nou ook eens alle problemen omtrend UAC eindelijk eens zouden oplossen.

De auto-updater opent anno 2013 nog steeds een UAC prompt enkel om de gebruiker te melden dat er een update is. Fijn als je net fullscreen aan het gamen was, of fullscreen een video aan het kijken was. (Nog fijner als de desbetreffende fullscreen applicatie er niet goed mee om kan gaan als deze door UAC weg geduwd wordt en dus gewoon zou crashen...)

Kies je vervolgens om Java te updaten; gaat de auto-updater eerst een paar minuten lang zonder UI feedback files downloaden terwijl de gebruiker maar moet raden dat er iets draait en niet het hele ding de soep in is gelopen. Is de update eenmaal binnen en gestart krijg je fijn de melding "Downloaded file <foo.dll> is corrupt".

Dat file is dan weer niet echt corrupt; de updater houdt gewoon niet correct rekening met UAC en na het downloaden van de update wordt de installer zonder administrator rechten gestart. "Geen permissie om deze files te lezen" betekent voor Oracle's half-bakken installer alleen hetzelfde als "deze files zijn corrupt".

Gelukkig kun je de update procedure correct met de hand opstarten door javacpl.exe op te zoeken in je /jre_<version>/bin folder, deze met administrator rechten op te starten en dan in het update paneel "update now" te kiezen. Via het control panel werkt niet goed, want dan wordt javacpl.exe ook gestart zonder administratie rechten.
(Dit is trouwens ook de reden dat aanpassingen aan de auto-update instellingen niet opgeslagen worden. Ook zoiets wat al jaren voor problemen zorgt maar nooit opgelost is. Om het allemaal wat leuker te maken reset deze instelling ook nog eens na elke update, net zoals de nieuwe Adobe Flash installers...)


Java lijkt nog steeds een interessante use-case te zijn in hoe software zo gebruiksonvriendelijk mogelijk in elkaar gezet kan worden...

[Reactie gewijzigd door R4gnax op 14 januari 2013 19:45]

Je zou verwachten dat deze zo langzamerhand wel in de meuktracker te vinden was...

Niet dat het nou zo spannend is, bij mij kwam de update automagisch binnen zoals waarschijnlijk bij de meeste non-tweakers, maar toch...

Op dit item kan niet meer gereageerd worden.