'Oracle heeft Java-lek niet gepatcht'
Oracle heeft een beveiligingsprobleem in Java niet gepatcht; enkel de exploit is onschadelijk gemaakt. Dat beweert een beveiligingsbedrijf. Een aanvaller met voldoende kennis zou daardoor een nieuwe exploit voor hetzelfde probleem kunnen schrijven.
De Java-patch die maandag verscheen om een urgent beveiligingsprobleem in Java te verhelpen, lost het probleem van het uitvoeren van eigen code niet op. Dat claimt beveiligingsbedrijf Immunity.
Volgens Java-eigenaar Oracle verhielp de patch twee beveiligingsproblemen, waaronder een lek dat actief zou worden misbruikt: volgens beveiligingsbedrijf Alien Vault was een exploit voor het probleem opgenomen in onder meer de BlackHole-exploitkit. Exploitkits misbruiken kwetsbaarheden in software om malware te installeren op pc's van gebruikers.
Immunity ontdekte echter dat de patch enkel de exploit het werk onmogelijk maakt; het beveiligingsprobleem zelf is niet verholpen. Daardoor zou een aanvaller met voldoende kennis van de broncode van Java - die vrij toegankelijk is - een nieuwe exploit kunnen schrijven die hetzelfde beveiligingsprobleem misbruikt.
De patch van maandag maakt het aanvallers wel moeilijker om beveiligingsproblemen te misbruiken, doordat Java code zonder certificaat en self-signed code niet meer standaard uitvoert. Daardoor moeten aanvallers code voorzien van een geldig certificaat; anders moeten gebruikers er bewust voor kiezen om de Java-applet uit te voeren. Dat is minder interessant voor exploit-kits, aangezien die ongezien hun werk willen doen.
Waarschijnlijk heeft Oracle gekozen voor een snelle fix om de exploit ontoegankelijk te maken omdat het beveiligingsprobleem oplossen te veel tijd zou kosten. Mogelijk volgt een definitieve oplossing tijdens Oracles eerstvolgende patchronde, in februari.
Reacties (56)
Ik vraag me af of Oracle gewoon verschrikkelijke code schrijft of dat Java hacken gewoon een hype is.
Laten we applets AUB vergeten. Java hoort op een server en in embedded devices, nergens anders. Op die plekken gaan mensen er ook geen misbruik van maken; als men al zover komt dan zijn er zwaardere security issues aan de hand.
[Reactie gewijzigd door gimbal op dinsdag 15 januari 2013 16:08]
Je kan Fries ook een mooiere taal vinden dan Engels, maar er is toch echt meer werk te vinden als je vloeiend Engels spreekt.
[Reactie gewijzigd door Dreamvoid op dinsdag 15 januari 2013 15:46]
De kritiek de laatste jaren is vooral dat Java steeds minder gevraagd wordt in de praktijk. Daar staat tegenover dat je waarschijnlijk beter af bent met een cursus die specifiek op een taal toe is gespitst als je zo snel mogelijk aan het werk wilt. Het is nu eenmaal niet het doel van een opleiding om programmeurs in taal x of y af te leveren maar om een informaticus op te leiden.
Daarnaast kan je ook moeilijk verwachten dat een opleiding ieder jaar bekijkt wat de meest populaire omgeving is en daar op overschakelt. Bij een gemiddelde opleiding HBO opleiding zijn er een aantal vakken die betrekking hebben op programmeren en daarnaast nog bijbehorende projecten/practica, inclusief lesmateriaal en docenten die thuis zijn in de materie. Dat kan je moeilijk in een keer omgooien zodra er een keer een exploit voor een bepaalde taal/runtime gevonden wordt.
edit: verbetering
[Reactie gewijzigd door Tribits op dinsdag 15 januari 2013 17:55]
Het is nu enkel nog wachtten tot Oracle echt de handdoek in de ring gooit, en een van de onderstaande gebeurd;
1] Java word opgeheven
2] Sun Microsystems word opnieuw opgericht, en deze koopt met een paar investeerders Java terug. (waarna ze waarschijnlijk 3 'mayor' versies terugspringen om al Oracles gefaal weg te werken)
Ben alleen 'bang' (voor de toekomst van java) dat #2 niet gaat gebeuren.
[Reactie gewijzigd door olivierh op dinsdag 15 januari 2013 15:52]
Wat ik eerder zie is dat Oracle stopt met de browser plugin meeleveren met de JRE per een bepaalde datum (zeg 1-1-2014), en het hooguit nog beschikbaar stelt als losse download voor bedrijven die nog specifieke applets gebruiken. Als er dan werkelijk nog vraag naar is naar Java applets op het web, dan port de community wel IcedTea Web naar OS X/Windows.
[Reactie gewijzigd door Dreamvoid op dinsdag 15 januari 2013 16:07]
En ik ben heel benieuwd waar jij je verder op baseert, want Oracle is vooral bekend/groot geworden met hun databases (bron), en verder is Java ontworpen/ontwikkeld door 1 persoon/Sun, ipv de bedrijven die jij noemt (bron) Sterker, Oracle klaagt de helft van de bedrijven die jij noemt aan over Java, maar een (volgens mij zelfs meerdere) rechter(s) heeft (/hebben) besloten dat Oracle niets te willen heeft betreffende de aangekochte uitvindingen, sterker nog ze mochten de hele rechtzaak betalen..
Daar komt nog bij dat je recentelijk nieuws misschien niet helemaal juist geinterperteerd hebt, Google en Apple zijn actief Oracle gaan vertellen wat er fout gaat, wat wel heel erg beschamend is (want dat moet Oracle gewoon testen/weten)
Dus ja, sorry als ik misschien wat negatief over kom, maar in mijn ogen gaat Java al bergafwaards sinds Oracle het heeft overgenomen, Oracle staat er (in IT kringen) om bekend producten 3-4 jaar na overname te beëindigen.
En ja, Sun is in Januarie 2010 overgenomen, januarie 2013 (nu) worden de echte problemen zichtbaar, Januarie 2014 laatste release? zou me echt totaal niet verbazen.
Dat was nou juist de hele reden van de overname! Oracle bulkt van het geld, maar had hun complete technologie op Sun's Java gebouwd. Toen Sun door zijn geld heen raakte en de toekomst van Java dreigde te verzanden (Java 7 werd maar verder en verder uitgesteld), heeft Oracle de hele Sun boedel gekocht om zelf de Java development ter hand te nemen. Er is sindsdien enorm het gaspedaal ingedrukt, Java 7 is zo snel mogelijk gereleased (achteraf niet zo handig misschien, want er zitten blijkbaar nog grote bugs in), en Oracle heeft in IBM, SAP en Apple partners gevonden om de referentie JRE (OpenJDK) gezamenlijk te ontwikkelen ipv iedereen zijn eigen (IBM zat in Apache Harmony, Apple maakte vroeger zijn eigen JRE).verder is Java ontworpen/ontwikkeld door 1 persoon/Sun
Eigenlijk had Oracle de hele browser plugin direct al na de overname in 2010 de nek om moeten draaien. Had ze misschien destijds een hoop kwaaie website bouwers opgeleverd, maar dan zaten ze nu niet met deze ellende - waar ze helemaal niet op zitten te wachten, want Oracle verdient volgens mij geen pepernoot aan websites met Java applets.
[Reactie gewijzigd door Dreamvoid op dinsdag 15 januari 2013 18:15]
Kortom als Java zou verdwijnen heeft Oracle een serieus issue met zijn productbase
Ik weet trouwens niet waar jij het idee vandaan haalt dat Oracle producten 3-4 jaar na hun overname beëindigt maar dan moet je toch echt je facts eens checken. Even snel de belangrijke overnames: Siebel, Peoplesoft, Sun (hardware, mysql, java), golden gate, hyperion, RDB, timesten etc. volgens mij bestaat alles nog in grote mate onder de Oracle vlag.
(waar ze voor het 'gemak' ook al een JVM in gepropt hadden om de meer geavanceerde dingen mogelijk te maken middels Java stored procedures).En ik ben heel benieuwd waar jij je verder op baseert, want Oracle is vooral bekend/groot geworden met hun databases
Dit is wat mij betreft het einde van Java in de browser.
[Reactie gewijzigd door FrankHe op dinsdag 15 januari 2013 13:32]
Als Java developer roep ik: het kan maar niet vroeg genoeg gebeuren. Het is altijd al een slecht idee geweest.Wederom even gechecked of Java staat uitgeschakeld, ik loop liever geen risico. Binnenkort overwegen om Java misschien maar helemaal definitief te verwijderen.
Dit is wat mij betreft het einde van Java in de browser.
JavaFX 2 werkt daarentegen dan weer wel -enorm- lekker beide qua programmeren als eindresultaat, maar helaas gaat dat nooit van de grond komen wegens werkelijk belabberde marketing plus een ongezonde obsessie met "html 5" (javascript). Bekijk voor de lol de showcase eens op javafx.com.
De Plug-in moet je uitschakelen, Java totaal verwijderen of uitschakelen is echt niet nodig.
Als je licht stuk is vernietig je je voertuig toch ook niet omdat in het donker rijden onveilig geworden is? Dan kun je er, zolang er daglicht is, gewoon veilig mee rijden.
En dan gaat deze vergelijking mank omdat hier jouw fietslicht stuk is en je de auto ook maar meteen vernietigd....
Alleen als je van java.com de jre download.
En zo heel erg is het ook weer niet dat bedrijven geld willen verdienen. Veel bedrijven leveren toolbars mee, ook Adobe, tools als winscp of virusscanners.
[Reactie gewijzigd door Cobalt op dinsdag 15 januari 2013 13:31]
Op dit item kan niet meer gereageerd worden.
Populair: Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
