Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 42, views: 18.497 •

Oracle heeft een tussentijdse patch uitgegeven voor Java, nadat een nieuw lek in de software actief misbruikt zou worden. Daarnaast zijn de beveiligingsinstellingen verscherpt; Java-applets die niet van een valide certificaat zijn voorzien, worden niet langer automatisch uitgevoerd.

JavaHet beveiligingsprobleem dat door Java-eigenaar Oracle is gepatcht kwam vorige week aan het licht en werd al actief misbruikt. Dat Oracle een tussentijdse patch uitbrengt, zegt wat over de ernst van het lek; normaliter houdt Oracle vast aan een driemaandelijkse patchronde, net zoals Microsoft dat normaliter één keer per maand doet.

Oracle adviseert de update zo snel mogelijk te installeren, omdat er aanwijzingen zijn dat het lek wordt misbruikt. Eerder al claimde beveiligingsbedrijf Alien Vault dat een exploit was opgenomen in de veelgebruikte BlackHole-exploitkit. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Naast het misbruikte lek lost de beveiligingsupdate nog een ander beveiligingsprobleem op. Daarnaast worden de standaardbeveiligingsinstellingen verscherpt; deze staan nu op 'high'. Dat heeft onder meer tot gevolg dat software zonder certificaat en software die self-signed is, niet langer standaard wordt uitgevoerd. Gebruikers moeten daar specifiek voor kiezen. Software met een geldig certificaat wordt wel nog bij het laden uitgevoerd.

Beveiligingsonderzoekers blijven desondanks kritisch over de software. HD Moore, die achter de populaire penetratietestingsoftware Metasploit zit, zegt tegen Reuters dat het het veiligst is 'om aan te nemen dat Java altijd onveilig zal zijn'. Volgens hem zal het nog jaren duren voordat alle beveiligingsproblemen in Java zijn opgelost. De onderzoeker Adam Gowdiak, die tientallen beveiligingsproblemen in Java heeft gevonden, durft gebruikers nog niet aan te raden om Java in te schakelen.

Reacties (42)

Neen, in het vorige bericht werd gemeld dat nog geen datum bekend was en smeet de auteur er nog even tussen dat een volgende patchronde voor java pas in februari komt (waarom weet ik niet). Oracle heeft nooit beweerd dat de patch pas in die patchronde zou zitten, Dat is een conclusie die vele tweakers getrokken hebben na dat artikel. Vraag blijft wel waarom de auteur er voor koos om die patchronde te vermelden in het artikel aangezien er in de bron met geen woord over word gerept.

Op dit item kan niet meer gereageerd worden.



Populair: Websites en communities Smartphones Beheer en beveiliging Google Sony Microsoft Games Politiek en recht Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013