Oracle patcht misbruikt Java-lek voortijdig
Oracle heeft een tussentijdse patch uitgegeven voor Java, nadat een nieuw lek in de software actief misbruikt zou worden. Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.
Het beveiligingsprobleem dat door Java-eigenaar Oracle is gepatcht kwam vorige week aan het licht en werd al actief misbruikt. Dat Oracle een tussentijdse patch uitbrengt, zegt wat over de ernst van het lek; normaliter houdt Oracle vast aan een driemaandelijkse patchronde, net zoals Microsoft dat normaliter één keer per maand doet.
Oracle adviseert de update zo snel mogelijk te installeren, omdat er aanwijzingen zijn dat het lek wordt misbruikt. Eerder al claimde beveiligingsbedrijf Alien Vault dat een exploit was opgenomen in de veelgebruikte BlackHole-exploitkit. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.
Naast het misbruikte lek lost de beveiligingsupdate nog een ander beveiligingsprobleem op. Daarnaast worden de standaardbeveiligingsinstellingen verscherpt; deze staan nu op 'high'. Dat heeft onder meer tot gevolg dat software zonder certificaat en software die self-signed is, niet langer standaard wordt uitgevoerd. Gebruikers moeten daar specifiek voor kiezen. Software met een geldig certificaat wordt wel nog bij het laden uitgevoerd.
Beveiligingsonderzoekers blijven desondanks kritisch over de software. HD Moore, die achter de populaire penetratietestingsoftware Metasploit zit, zegt tegen Reuters dat het het veiligst is 'om aan te nemen dat Java altijd onveilig zal zijn'. Volgens hem zal het nog jaren duren voordat alle beveiligingsproblemen in Java zijn opgelost. De onderzoeker Adam Gowdiak, die tientallen beveiligingsproblemen in Java heeft gevonden, durft gebruikers nog niet aan te raden om Java in te schakelen.
Reacties (42)
Maar dan vraag ik me toch af... Hoe komt het dat zoiets zoveel lekken kan bevatten... Want ik neem aan dat men wel weet wat ze doen daaro...
Wat kan je er aan doen, niet zo veel. Bugs vinden en blijven updaten. Het is allemaal open source dus iedereen kan meedoen.
[Reactie gewijzigd door Dreamvoid op maandag 14 januari 2013 09:52]
Maar voor HTML5 zijn er toch HEEL wat meer regels over het niet mogen benaderen van het bestandssysteem en dus ook het niet kunnen starten van applicaties.
Hierdoor zijn HTML5 en JavaScript een stuk veiliger by-design.
[Reactie gewijzigd door Dreamvoid op maandag 14 januari 2013 10:23]
Het is allemaal misgegaan toen ze de <img> tag toevoegden aan HTML
[Reactie gewijzigd door Dreamvoid op maandag 14 januari 2013 10:13]
'In elke 1000 regels code zal er altijd een bug zijn die niet opgelost zal worden'.
Reken maar uit hoeveel regels code de JRE bevat en daar is je antwoord op je vraag.
Elke bug is een potentieel beveiligings risico.
"Elke bugfix is weer een opening naar een nieuwe bug."
"A bugfix is nothing more than creating a new bug"
Het is gewoon lekken dichten en blijven dweilen met de spreekwoordelijke kraan open. Zo houdt je mensen van de straat.
Het is immers door mensen gemaakt en andere mensen blijven met groot genoegen zoeken naar zwaktes om er misbruik te maken. Zoals je al leest is alle plugin technologie een potentiele lek niet alleen java, flash had/heeft hier er ook veel last van.
Vaak kan je al zien wanneer een website beetje onveilig is. maar de gemiddelde gebruiker dentk anders dan een tweaker die alles in controll wilt zijn etc. En daar maken hackers/crackers veel gebruik van.
Ik vind het netjes dat Oracle zo snel reageert maar je weet gewoon dat over een tijdje weer een andere toko aan de beurt is met een kritieke lek waar veel misbruik van gemaakt wordt. Het is gewoon een fijt en realiteit van de hedendaagse gebruik.
Daar reageert Oracle eerder op dan op een grote groep consumenten
@Blokker_1999: Dat bedoel ik ook: Tweakers.net suggereert op z'n minst dat het pas in februari zou plaatsvinden. Het is jammer dat je dus de bronnen moet controleren om erachter te komen dat dit (niet lullig bedoeld) uit de duim gezogen is.
[Reactie gewijzigd door Grrrrrene op maandag 14 januari 2013 11:20]
Pas als je in businessomgevingen komt zie je dat java vaker gebruikt wordt aan de client kant. (Aan de server kant nog wat meer)
Ik gooi de java browser plug-in er altijd standaard af als ik iemand zijn PC onderhoud. Java kan je gewoon geinstalleerd hebben staan zonder kwetsbaar te zijn.
Heel veel en bijna iedereen gebruikt java. Het is onvermijdelijk geworden dus eigenlijk gebruik je het toch wel terwijl er ook lekken in zitten zelfde geval met Windows.
Uiteindelijk worden deze lekken toch wel gedicht en als je er toch bang voor bent kijk dan goed uit voor onbekende software en vooral java applets die in een html pagina zitten. Het is niet voor niets dat je browser zon irritant pop-upje tevoorschijn haalt met weet u zeker dat u java op deze pagina wilt toestaan.
Erg handig om dit zo tussendoor te doen voor bedrijven. Mocht er een applet die ergens in de organisatie gebruikt wordt (enkel op het intranet) dus geen certificaat hebben kan het dus al niet zomaar even gepatched worden. En voordat alle applets getest zijn..... Hier had het toch handiger geweest om het in een aparte update te stoppen (of de 3 maandelijkse).Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.
[Reactie gewijzigd door trix0r op maandag 14 januari 2013 09:01]
Gebruikers gaan dat niet leuk vinden, maar ik verwacht dat je wel ergens een whitelist kunt bijhouden.
[Reactie gewijzigd door Grrrrrene op maandag 14 januari 2013 09:04]
Wel jammer dat ze Ask Jeeves mee willen installeren. Wanneer houden ze daar nou eens mee op? Microsoft wil toch ook niet bij elke update de Bing toolbar, o.i.d. installeren?
Maar even serieus.
Een lek is of gepatched VOOR deze actief misbruikt werd of gepatched NA deze actief gebruikt werd.
Ik snap dus inderdaad niet wat hier staat (net zoals hierboven).
http://www.reuters.com/ar...ity-idUSBRE90C0JB20130114
http://tweakers.net/nieuw...ert-java-op-mac-os-x.html
Lijkt me logisch dat Oracle zsm zijn Java weer werkend will hebben op OS X.
Via het Java regelpaneel.Hoe update ik nu Java op m'n Mac, sinds Java niet meer via Apple Sotware Update wordt geleverd?
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
