Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 56, views: 18.721 •

Oracle heeft een beveiligingsprobleem in Java niet gepatcht; enkel de exploit is onschadelijk gemaakt. Dat beweert een beveiligingsbedrijf. Een aanvaller met voldoende kennis zou daardoor een nieuwe exploit voor hetzelfde probleem kunnen schrijven.

JavaDe Java-patch die maandag verscheen om een urgent beveiligingsprobleem in Java te verhelpen, lost het probleem van het uitvoeren van eigen code niet op. Dat claimt beveiligingsbedrijf Immunity.

Volgens Java-eigenaar Oracle verhielp de patch twee beveiligingsproblemen, waaronder een lek dat actief zou worden misbruikt: volgens beveiligingsbedrijf Alien Vault was een exploit voor het probleem opgenomen in onder meer de BlackHole-exploitkit. Exploitkits misbruiken kwetsbaarheden in software om malware te installeren op pc's van gebruikers.

Immunity ontdekte echter dat de patch enkel de exploit het werk onmogelijk maakt; het beveiligingsprobleem zelf is niet verholpen. Daardoor zou een aanvaller met voldoende kennis van de broncode van Java - die vrij toegankelijk is - een nieuwe exploit kunnen schrijven die hetzelfde beveiligingsprobleem misbruikt.

De patch van maandag maakt het aanvallers wel moeilijker om beveiligingsproblemen te misbruiken, doordat Java code zonder certificaat en self-signed code niet meer standaard uitvoert. Daardoor moeten aanvallers code voorzien van een geldig certificaat; anders moeten gebruikers er bewust voor kiezen om de Java-applet uit te voeren. Dat is minder interessant voor exploit-kits, aangezien die ongezien hun werk willen doen.

Waarschijnlijk heeft Oracle gekozen voor een snelle fix om de exploit ontoegankelijk te maken omdat het beveiligingsprobleem oplossen te veel tijd zou kosten. Mogelijk volgt een definitieve oplossing tijdens Oracles eerstvolgende patchronde, in februari.

Reacties (56)

ze nemen duidelijk hun tijd, hopelijk zorgt het er tevens voor dat ze wat meer aan de security van java gaan doen ipv enkele dit lek dichten, want zoo lang kan dat nu toch niet duren?

[Reactie gewijzigd door Chris5488 op 15 januari 2013 12:58]

Oracle neemt altijd ruimschoots de tijd. Het was al heel wat dat ze dit keer direct actie gingen ondernemen ipv een bekend lek gewoon maanden open te laten staan. Eigenlijk was het dus wel te verwachten dat het half werk zou zijn.
ze nemen duidelijk hun tijd,
Patches komen niet zomaar uit de lucht vallen, en programmeer je ook niet even in een paar minuten, dus natuurlijk kost het tijd voor er een volledige patch voor dit probleem komt.

[Reactie gewijzigd door Zer0 op 15 januari 2013 13:25]

Je vergeet dat het niet zo simpel is om security lekken zomaar even te fixen, je moet namelijk altijd heel goed testen of je met de fix niet reeds bestaande software doet breken..

En beter de lek blokkeren (zoals het beveiligingsbedrijf beweert) dan helemaal niets doen..
Zolang het een tijdelijke fix is van de huidige exploit tot het lek zelf is gefixed is het beter dan niks doen tot het lek is gefixed inderdaad!
Ik denk dat dit immens complex is, gezien de toepassingen van Java. Dezelfde (wel bijna) JVM wordt gebruikt om applets te draaien EN om complexe webservers (JBoss, WebLogic e.d.) te draaien. Oracle's belangen liggen duidelijk bij de laatste categorie, de serverkant.
Ik denk dat er nog vele exploits zullen volgen, simpel vanwege deze tegenstrijdige toepassingen/belangen. Ik denk dat de enige manier om dit echt te fixen een fork is. Dus, een simpelere JVM voor de browser, eentje die eenvoudiger te beveiligen is.

@Cobalt. Ja de huidge JVM kent meerdere modus. Maar, dat is niet terzake doende. Het gaat erom dat de codebase vereenvoudigd kan worden. Dat maakt beveiligen simpeler

[Reactie gewijzigd door loetje6 op 15 januari 2013 13:57]

Java kent al een parameter -client en -server die bepaalde features in- en uitschakkeld.
Dat zijn optimalisatie-opties, geen features die in- of uitgeschakeld worden.
Gek genoeg heb ik de "security rating" van Java niet omlaag zien gaan in Secunia PSI. Die score staat al sinds jaar en dag in het rode bereik. Ze blijven patchen (duurt vaak een eeuwigheid) maar de software lijkt daar niet veiliger van te worden.
Maar ze hebben iig de scriptkiddies geweerd. Ik vond het al frappant dat Oracle zo snel uitkwam met een "fix"
Maar wie heb je liever geblokt. De " scriptkiddies of de mensen die hier echt weten wat ze kunnen doen met zo'n lek.
Die mensen komen toch wel binnen, want die hebben vaak een hele toolkit met zero-day exploits.
Je wil natuurlijk dat een beveiligings-probleem zo snel mogelijk opgelost word. Als een bedrijf door een simpele update een gedeelte van de kwetsbaarheid kan verhelpen juich ik het alleen maar toe als ze deze zo snel mogelijk beschikbaar maken. Dat is beter dan moeten wachten totdat ze het probleem echt opgelost hebben en je in die tussentijd helemaal kwetsbaar bent. Alles beter dan niets zullen we maar zeggen.

Natuurlijk moet dat niet betekenen dat de complete fix van het probleem langer op zich laat wachten dan nodig is.
Morgen is er waarschijnlijk een nieuwe kant en klare exploit uit, dit heeft totaal geen nut zo.
Toch wel, want ze hebben ook het default security-level hoger gezet. Waardoor de exploiter tenminste moet regelen dat het de beschikking krijgt over een code-signing certificaat van een trusted CA. Niet onoverkomelijk waarschijnlijk, maar wel een extra drempel en ze zullen hun exploit waarschijnlijk niet aanbieden als signed-jar voor een exploit kit.
Ik kan begrijpen dat ze met een hotfix komen om er voor te zorgen dat terwijl er een definitieve oplossing word gemaakt deze exploit niet meer werkt.
Maar dan verwacht ik wel dat die ook uit komt als hij klaar is en niet wanneer Oracle zin heeft om weer eens een patchronde te doen. Die vorige fix wilde ze ook al laten slingeren tot februari.

Ik snap dat ze niet zo heel veel meer om de desktop markt zullen geven (die hebben ze al bijna niet meer volgens mij), maar in het bedrijfsleven draait nog veel op Java. Die zullen niet blij zijn als dat de instelling is. Vooral als jij software/hardware levert waar Oracle JVM's in draaien. Dan moet je dus ook tegen je klanten zeggen dat de apperatuur/programmatuur een potentieel risico heeft. En er zijn apparaten van een paar duizenden euro's die op Java draaien.

Ik zou voorlopig geen Java meer aanraden. En ja het gaat momenteel voornamelijk om de plugin, maar dat betekend niet dat een lek in de daadwerkelijke JVM's anders behandeld gaat worden.
Alle problemen tot nu toe zaten in de browser plug-in. Iets waar embedded systemen of servers geen last van hebben.

Als jij gaat waarschuwen voor "potentiŽle" risico's, waarschuw je dan ook even voor alle andere software? Er is geen "gegarandeerd" veilige software. Java niet, .Net niet, Ruby-on-Rails niet, Windows niet, Unix niet, Linux niet, Mac niet, het proprietary embedded OS van je router niet.

Veiligheid is de afweging tussen risico en schade. Met deze patch heeft Oracle het risico sterk verkleind. De mogelijke schade blijkbaar niet. Het systeem is dus veiliger geworden.
Of gebruik gewoon NoScript...
JavaScript is geen Java en andersom ook niet, NoScript doet niks.
Noscript blokkeerd ook het automatisch uitvoeren van plugins als flash en java
Het zal dus wel werken.
Ik heb een beter advies: niet meer online gaan. En het veiligste ben je pas als je alle computers wegdoet.
Inderdaad maar wel met de auto gaan terwijl dat het gevaarlijkste is wat er gem. elke dag gedaan wordt :)
Statistisch gezien gebeuren de meeste ongelukken thuis...

Daar kan je dus voortaan ook beter wegblijven. :P
wordt lastig als je software hebt draaien dat java nodig heeft, zoals bv Universal/PS3 media server, of welke andere van de duizenden softwarepakketten die er gebruik van maken..
Ik adviseer iedereen Java (tijdelijk) te verwijderen
Doorgaans installeer je Java als je het nodig hebt, dus wat is dat voor onzinnig advies. Exploit in Firefox: "ik raad aan om Firefox te verwijderen". Exploit in OS X "ik raad aan om geen Macs te gebruiken". Exploit in Word: "ik raad aan om Word te verwijderen".
Gisteren ING nog gebeld:
'we hebben nog geen meldingen gekregen dat dit is misbruikt, dus u kunt het gewoon nog gebruiken'.

Tja.. :/
Waarom zou je ING bellen? Het probleem zit niet in hun applet.

Het probleem zit in andere malafide sites (NIET ING duh) welke gebruikt maken van de bug.

[Reactie gewijzigd door Cobalt op 15 januari 2013 14:51]

Nou die zullen wel hebben kunnen lachen om je telefoontje. Ik vraag me overigens af of ING uberhaupt met (java)applets werkt. Anders is ING toch moeilijk als malafide site aan te duiden.

Tja.. :/
Sneu. Nog sneuer was dat wťťr de Ask Toolbar gepusht werd met de update. Kom op, het is geen 1995 meer.
Als je van java.sun.com de jdk of jre download wordt er niet gevraagd of je ask toolbar wilt.
Alleen als je van java.com de jre download.

En zo heel erg is het ook weer niet dat bedrijven geld willen verdienen. Veel bedrijven leveren toolbars mee, ook Adobe, tools als winscp of virusscanners.

[Reactie gewijzigd door Cobalt op 15 januari 2013 13:31]

Wederom even gechecked of Java staat uitgeschakeld, ik loop liever geen risico. Binnenkort overwegen om Java misschien maar helemaal definitief te verwijderen.

Dit is wat mij betreft het einde van Java in de browser.

[Reactie gewijzigd door FrankHe op 15 januari 2013 13:32]

Wederom even gechecked of Java staat uitgeschakeld, ik loop liever geen risico. Binnenkort overwegen om Java misschien maar helemaal definitief te verwijderen.

Dit is wat mij betreft het einde van Java in de browser.
Als Java developer roep ik: het kan maar niet vroeg genoeg gebeuren. Het is altijd al een slecht idee geweest.

JavaFX 2 werkt daarentegen dan weer wel -enorm- lekker beide qua programmeren als eindresultaat, maar helaas gaat dat nooit van de grond komen wegens werkelijk belabberde marketing plus een ongezonde obsessie met "html 5" (javascript). Bekijk voor de lol de showcase eens op javafx.com.
Als Java developer zou je toch moeten begrijpen/weten dat Java totaal los staat van de browser-plug-in.
De Plug-in moet je uitschakelen, Java totaal verwijderen of uitschakelen is echt niet nodig.

Als je licht stuk is vernietig je je voertuig toch ook niet omdat in het donker rijden onveilig geworden is? Dan kun je er, zolang er daglicht is, gewoon veilig mee rijden.
En dan gaat deze vergelijking mank omdat hier jouw fietslicht stuk is en je de auto ook maar meteen vernietigd....
JavaFX is net als Silverlight en Flash uiteindelijk gemangeld tussen "goed genoeg" HTML5, en de App Store trend. Dingen die je vroeger als applet bouwde, die bouw je nu ofwel in versimpelde vorm als HTML5 website, ofwel compile je native en distribueer je als mini app in de Apple/Windows/Google App Store.
Waarom is het nog steeds niet mogelijk om in java een whitelist te maken voor sites die wel java mogen gebruiken? Als je een site niet op de whitelist heb gezet dan krijgt ie ook geen toegang tot de java plugin. Is dat nu zo moeilijk... Ik raad iedereen aan om Java zo snel mogelijk te verwijderen.
Geen verrassing, dit is hoe ze tegenwoordig 'patches' uitbrengen, ik ben maar mee gegaan in het advies van de vele 'proffesionals' en heb java verwijderd van alle pcs hier op kantoor, word verder toch nergens meer gebruikt, en anders krijgen ze een vmware install van me :9

Het is nu enkel nog wachtten tot Oracle echt de handdoek in de ring gooit, en een van de onderstaande gebeurd;
1] Java word opgeheven
2] Sun Microsystems word opnieuw opgericht, en deze koopt met een paar investeerders Java terug. (waarna ze waarschijnlijk 3 'mayor' versies terugspringen om al Oracles gefaal weg te werken)

Ben alleen 'bang' (voor de toekomst van java) dat #2 niet gaat gebeuren. :(

[Reactie gewijzigd door olivierh op 15 januari 2013 15:52]

Java is core technology voor Oracle, dat gaan ze nooit verkopen. Hun complete produktenportfolio is gebaseerd op Java, en dat allemaal weggooien vanwege een lekke browser plugin die bijna niemand gebruikt? Apple gaat toch ook niet OS X/iOS afsplitsen in een NeXT reincarnatie omdat de iPhone zo makkelijk te jailbreaken is? Die Sun nostalgie snap ik al helemaal niet, de Java codebase is niet voor niets zo'n grote puinhoop geworden dat Oracle de boel maar opgekocht heeft en samen met Apple, IBM en SAP gezamenlijk de rommel aan het opschonen is. Dat opschonen is blijkbaar een stuk lastiger dan gedacht...

Wat ik eerder zie is dat Oracle stopt met de browser plugin meeleveren met de JRE per een bepaalde datum (zeg 1-1-2014), en het hooguit nog beschikbaar stelt als losse download voor bedrijven die nog specifieke applets gebruiken. Als er dan werkelijk nog vraag naar is naar Java applets op het web, dan port de community wel IcedTea Web naar OS X/Windows.

[Reactie gewijzigd door Dreamvoid op 15 januari 2013 16:07]

Java is inclusief de bijbehorende producten aangekocht, zou dus niet zien waarom ze niet kunnen besluiten het weer te verkopen. en daarbij is minder dan de helft van de portfolio java.

En ik ben heel benieuwd waar jij je verder op baseert, want Oracle is vooral bekend/groot geworden met hun databases (bron), en verder is Java ontworpen/ontwikkeld door 1 persoon/Sun, ipv de bedrijven die jij noemt (bron) Sterker, Oracle klaagt de helft van de bedrijven die jij noemt aan over Java, maar een (volgens mij zelfs meerdere) rechter(s) heeft (/hebben) besloten dat Oracle niets te willen heeft betreffende de aangekochte uitvindingen, sterker nog ze mochten de hele rechtzaak betalen..

Daar komt nog bij dat je recentelijk nieuws misschien niet helemaal juist geinterperteerd hebt, Google en Apple zijn actief Oracle gaan vertellen wat er fout gaat, wat wel heel erg beschamend is (want dat moet Oracle gewoon testen/weten)

Dus ja, sorry als ik misschien wat negatief over kom, maar in mijn ogen gaat Java al bergafwaards sinds Oracle het heeft overgenomen, Oracle staat er (in IT kringen) om bekend producten 3-4 jaar na overname te beŽindigen.
En ja, Sun is in Januarie 2010 overgenomen, januarie 2013 (nu) worden de echte problemen zichtbaar, Januarie 2014 laatste release? zou me echt totaal niet verbazen.
En ik ben heel benieuwd waar jij je verder op baseert, want Oracle is vooral bekend/groot geworden met hun databases
(waar ze voor het 'gemak' ook al een JVM in gepropt hadden om de meer geavanceerde dingen mogelijk te maken middels Java stored procedures).
Oracle is core business omdat het language numero uno is in al hun omgevingen. Zowel hun Weblogic middleware tier als hun database tier draaien volop java. Weblogic applicaties draaien allemaal in java containers en oracle database kunnen gewoon direct java stored procedures aanroepen uit de database. Daarnaast is veel van software die oracle levert logischer wijs op weblogic gebasseerd en dus ook in java geschreven en is Oracle druk bezig om alles naar deze stack te migreren (de 'Fusion apps').

Kortom als Java zou verdwijnen heeft Oracle een serieus issue met zijn productbase

Ik weet trouwens niet waar jij het idee vandaan haalt dat Oracle producten 3-4 jaar na hun overname beŽindigt maar dan moet je toch echt je facts eens checken. Even snel de belangrijke overnames: Siebel, Peoplesoft, Sun (hardware, mysql, java), golden gate, hyperion, RDB, timesten etc. volgens mij bestaat alles nog in grote mate onder de Oracle vlag.
verder is Java ontworpen/ontwikkeld door 1 persoon/Sun
Dat was nou juist de hele reden van de overname! Oracle bulkt van het geld, maar had hun complete technologie op Sun's Java gebouwd. Toen Sun door zijn geld heen raakte en de toekomst van Java dreigde te verzanden (Java 7 werd maar verder en verder uitgesteld), heeft Oracle de hele Sun boedel gekocht om zelf de Java development ter hand te nemen. Er is sindsdien enorm het gaspedaal ingedrukt, Java 7 is zo snel mogelijk gereleased (achteraf niet zo handig misschien, want er zitten blijkbaar nog grote bugs in), en Oracle heeft in IBM, SAP en Apple partners gevonden om de referentie JRE (OpenJDK) gezamenlijk te ontwikkelen ipv iedereen zijn eigen (IBM zat in Apache Harmony, Apple maakte vroeger zijn eigen JRE).

Eigenlijk had Oracle de hele browser plugin direct al na de overname in 2010 de nek om moeten draaien. Had ze misschien destijds een hoop kwaaie website bouwers opgeleverd, maar dan zaten ze nu niet met deze ellende - waar ze helemaal niet op zitten te wachten, want Oracle verdient volgens mij geen pepernoot aan websites met Java applets.

[Reactie gewijzigd door Dreamvoid op 15 januari 2013 18:15]

Ik moet wel Java gebruiken want op mijn opleiding (Software Engineering via Fontys in Eindhoven) willen ze alleen en exclusief Java gebruiken. Bah :(
Wanneer je Java lokaal gebruikt is er niet zo veel aan de hand hoor.
Tsja, het grootste mobiele platform ter wereld (Android) draait Java, en de meeste webserver en database software is Java-based. Toch niet onbelangrijk voor je toekomst als developer.

Je kan Fries ook een mooiere taal vinden dan Engels, maar er is toch echt meer werk te vinden als je vloeiend Engels spreekt.

[Reactie gewijzigd door Dreamvoid op 15 januari 2013 15:46]

Het belangrijkste punt van een opleiding blijft bovendien dat je leert programmeren en niet dat je een bepaalde taal leert. Natuurlijk zijn er ook andere programmeertalen die daarvoor in aanmerking komen maar Java is zeker geen onlogische keuze voor dat doeleinde.

De kritiek de laatste jaren is vooral dat Java steeds minder gevraagd wordt in de praktijk. Daar staat tegenover dat je waarschijnlijk beter af bent met een cursus die specifiek op een taal toe is gespitst als je zo snel mogelijk aan het werk wilt. Het is nu eenmaal niet het doel van een opleiding om programmeurs in taal x of y af te leveren maar om een informaticus op te leiden.

Daarnaast kan je ook moeilijk verwachten dat een opleiding ieder jaar bekijkt wat de meest populaire omgeving is en daar op overschakelt. Bij een gemiddelde opleiding HBO opleiding zijn er een aantal vakken die betrekking hebben op programmeren en daarnaast nog bijbehorende projecten/practica, inclusief lesmateriaal en docenten die thuis zijn in de materie. Dat kan je moeilijk in een keer omgooien zodra er een keer een exploit voor een bepaalde taal/runtime gevonden wordt.

edit: verbetering

[Reactie gewijzigd door Tribits op 15 januari 2013 17:55]

Je weet dat de browser plugin en Java als applicatie platform twee compleet verschillende dingen zijn?
Eh nee, dat wil de gemiddelde persoon niet begrijpen want dan verlies je een argument om gal te kunnen spuwen. Ik weet niet hoe vaak ik het nu al geprobeerd hebt uit te leggen, het komt er gewoon niet in. De neus is erg kort zullen we maar zeggen.

[Reactie gewijzigd door gimbal op 15 januari 2013 16:08]

Op dit item kan niet meer gereageerd worden.