Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 42, views: 18.581 •

Oracle heeft een tussentijdse patch uitgegeven voor Java, nadat een nieuw lek in de software actief misbruikt zou worden. Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.

JavaHet beveiligingsprobleem dat door Java-eigenaar Oracle is gepatcht kwam vorige week aan het licht en werd al actief misbruikt. Dat Oracle een tussentijdse patch uitbrengt, zegt wat over de ernst van het lek; normaliter houdt Oracle vast aan een driemaandelijkse patchronde, net zoals Microsoft dat normaliter één keer per maand doet.

Oracle adviseert de update zo snel mogelijk te installeren, omdat er aanwijzingen zijn dat het lek wordt misbruikt. Eerder al claimde beveiligingsbedrijf Alien Vault dat een exploit was opgenomen in de veelgebruikte BlackHole-exploitkit. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Naast het misbruikte lek lost de beveiligingsupdate nog een ander beveiligingsprobleem op. Daarnaast worden de standaardbeveiligingsinstellingen verscherpt; deze staan nu op 'high'. Dat heeft onder meer tot gevolg dat software zonder certificaat en software die self-signed is, niet langer standaard wordt uitgevoerd. Gebruikers moeten daar specifiek voor kiezen. Software met een geldig certificaat wordt wel nog bij het laden uitgevoerd.

Beveiligingsonderzoekers blijven desondanks kritisch over de software. HD Moore, die achter de populaire penetratietestingsoftware Metasploit zit, zegt tegen Reuters dat het het veiligst is 'om aan te nemen dat Java altijd onveilig zal zijn'. Volgens hem zal het nog jaren duren voordat alle beveiligingsproblemen in Java zijn opgelost. De onderzoeker Adam Gowdiak, die tientallen beveiligingsproblemen in Java heeft gevonden, durft gebruikers nog niet aan te raden om Java in te schakelen.

Reacties (42)

Je zou verwachten dat deze zo langzamerhand wel in de meuktracker te vinden was...

Niet dat het nou zo spannend is, bij mij kwam de update automagisch binnen zoals waarschijnlijk bij de meeste non-tweakers, maar toch...
Als ze nou ook eens alle problemen omtrend UAC eindelijk eens zouden oplossen.

De auto-updater opent anno 2013 nog steeds een UAC prompt enkel om de gebruiker te melden dat er een update is. Fijn als je net fullscreen aan het gamen was, of fullscreen een video aan het kijken was. (Nog fijner als de desbetreffende fullscreen applicatie er niet goed mee om kan gaan als deze door UAC weg geduwd wordt en dus gewoon zou crashen...)

Kies je vervolgens om Java te updaten; gaat de auto-updater eerst een paar minuten lang zonder UI feedback files downloaden terwijl de gebruiker maar moet raden dat er iets draait en niet het hele ding de soep in is gelopen. Is de update eenmaal binnen en gestart krijg je fijn de melding "Downloaded file <foo.dll> is corrupt".

Dat file is dan weer niet echt corrupt; de updater houdt gewoon niet correct rekening met UAC en na het downloaden van de update wordt de installer zonder administrator rechten gestart. "Geen permissie om deze files te lezen" betekent voor Oracle's half-bakken installer alleen hetzelfde als "deze files zijn corrupt".

Gelukkig kun je de update procedure correct met de hand opstarten door javacpl.exe op te zoeken in je /jre_<version>/bin folder, deze met administrator rechten op te starten en dan in het update paneel "update now" te kiezen. Via het control panel werkt niet goed, want dan wordt javacpl.exe ook gestart zonder administratie rechten.
(Dit is trouwens ook de reden dat aanpassingen aan de auto-update instellingen niet opgeslagen worden. Ook zoiets wat al jaren voor problemen zorgt maar nooit opgelost is. Om het allemaal wat leuker te maken reset deze instelling ook nog eens na elke update, net zoals de nieuwe Adobe Flash installers...)


Java lijkt nog steeds een interessante use-case te zijn in hoe software zo gebruiksonvriendelijk mogelijk in elkaar gezet kan worden...

[Reactie gewijzigd door R4gnax op 14 januari 2013 19:45]

Die check op het certificaat is een goede toevoeging. Ik was zelf voorstander om de plugin gewoon helemaal niet meer standaard te distribueren, maar dit is een redelijk alternatief waardoor hij toch nog bruikbaar blijft.
Grappig, tijdens mijn studie (+/- 8 jaar geleden) werd uitgelegd dat één van de grote voordelen van Java was dat het zo veilig was omdat het in z'n eigen virtual machine draaide en de ontwikkelaar minimale toegang tot het OS had.
Dit heb ik dus ook meegekregen tijdens mijn studie.
Tegenwoordig draait alles in een sandbox: Javascript in de browser, je Windows applicaties in het managed .NET Framework, Cocoa apps in de OS X sandbox, Android in de Dalvik VM, etc. Uiteindelijk gaat het om de kwaliteit van de virtuele machine.
Hoe update ik nu Java op m'n Mac, sinds Java niet meer via Apple Sotware Update wordt geleverd?
Mocht je de melding krijgen dat het geblokkeerd is wegens een oude versie dan staat bij die melding ook direct een update knop.
Hoe update ik nu Java op m'n Mac, sinds Java niet meer via Apple Sotware Update wordt geleverd?
Via het Java regelpaneel.
Ik neem aan dat deze tussentijdse update is ingegeven doordat Java op de Mac is geblokkeerd door Apple:
http://tweakers.net/nieuw...ert-java-op-mac-os-x.html

Lijkt me logisch dat Oracle zsm zijn Java weer werkend will hebben op OS X.
Er is nog steeds twijfel of het lek wel gedicht is...
http://www.reuters.com/ar...ity-idUSBRE90C0JB20130114
Tsja, client-side scripting blijft gevaarlijk. Maar ik zie niet zo snel wat je er fundamenteel aan kan doen. Terug naar statische HTML, wie wil dat nog?
hmm, een actief misbruikt lek patchen voordat het actief misbruikt wordt lijkt me een uiterst curieuze bezigheid :P
Thems be time traveling.. ya know! :+

Maar even serieus.
Een lek is of gepatched VOOR deze actief misbruikt werd of gepatched NA deze actief gebruikt werd.
Ik snap dus inderdaad niet wat hier staat (net zoals hierboven).
Welke versie(s) zijn de nieuwe gepatche versie nu?
Versie 7 update 11 is net bij mij geinstalleerd.

Wel jammer dat ze Ask Jeeves mee willen installeren. Wanneer houden ze daar nou eens mee op? Microsoft wil toch ook niet bij elke update de Bing toolbar, o.i.d. installeren?
Score: Spotlight, waarom? Java installer loopt behoorlijk vaak te klooien op meerdere systemen, soms installeer je een update en dan zegt de updater alsnog er is een nieuwe versie (loop dus).

Versie 7 Update 11 dus, goed om te weten.
Nee, Microsoft wil bij elke niet essentieel pakketje (Windows Live en Skype b.v.) Bing meeleveren. Net zo irritant!
Microsoft krijgt geen geld bij elke installatie, Oracle wel (wat me nog steeds erg verbaast overigens).
Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.
Erg handig om dit zo tussendoor te doen voor bedrijven. Mocht er een applet die ergens in de organisatie gebruikt wordt (enkel op het intranet) dus geen certificaat hebben kan het dus al niet zomaar even gepatched worden. En voordat alle applets getest zijn..... Hier had het toch handiger geweest om het in een aparte update te stoppen (of de 3 maandelijkse).

[Reactie gewijzigd door trix0r op 14 januari 2013 09:01]

Het wordt niet langer automatisch uitgevoerd. Dat wil dus zeggen dat je waarschijnlijk een melding krijgt dat het certificaat ongeldig is (doorgaan op eigen risico), zoals je ook meldingen krijgt als een https-site geen geldig SSL/TLS-certificaat heeft.

Gebruikers gaan dat niet leuk vinden, maar ik verwacht dat je wel ergens een whitelist kunt bijhouden.

[Reactie gewijzigd door Grrrrrene op 14 januari 2013 09:04]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013