Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties

Oracle heeft een beveiligingsprobleem in Java niet gepatcht; enkel de exploit is onschadelijk gemaakt. Dat beweert een beveiligingsbedrijf. Een aanvaller met voldoende kennis zou daardoor een nieuwe exploit voor hetzelfde probleem kunnen schrijven.

JavaDe Java-patch die maandag verscheen om een urgent beveiligingsprobleem in Java te verhelpen, lost het probleem van het uitvoeren van eigen code niet op. Dat claimt beveiligingsbedrijf Immunity.

Volgens Java-eigenaar Oracle verhielp de patch twee beveiligingsproblemen, waaronder een lek dat actief zou worden misbruikt: volgens beveiligingsbedrijf Alien Vault was een exploit voor het probleem opgenomen in onder meer de BlackHole-exploitkit. Exploitkits misbruiken kwetsbaarheden in software om malware te installeren op pc's van gebruikers.

Immunity ontdekte echter dat de patch enkel de exploit het werk onmogelijk maakt; het beveiligingsprobleem zelf is niet verholpen. Daardoor zou een aanvaller met voldoende kennis van de broncode van Java - die vrij toegankelijk is - een nieuwe exploit kunnen schrijven die hetzelfde beveiligingsprobleem misbruikt.

De patch van maandag maakt het aanvallers wel moeilijker om beveiligingsproblemen te misbruiken, doordat Java code zonder certificaat en self-signed code niet meer standaard uitvoert. Daardoor moeten aanvallers code voorzien van een geldig certificaat; anders moeten gebruikers er bewust voor kiezen om de Java-applet uit te voeren. Dat is minder interessant voor exploit-kits, aangezien die ongezien hun werk willen doen.

Waarschijnlijk heeft Oracle gekozen voor een snelle fix om de exploit ontoegankelijk te maken omdat het beveiligingsprobleem oplossen te veel tijd zou kosten. Mogelijk volgt een definitieve oplossing tijdens Oracles eerstvolgende patchronde, in februari.

Reacties (56)

Reactiefilter:-156052+139+25+30
Moderatie-faq Wijzig weergave
Ik adviseer iedereen Java (tijdelijk) te verwijderen
Doorgaans installeer je Java als je het nodig hebt, dus wat is dat voor onzinnig advies. Exploit in Firefox: "ik raad aan om Firefox te verwijderen". Exploit in OS X "ik raad aan om geen Macs te gebruiken". Exploit in Word: "ik raad aan om Word te verwijderen".
verder is Java ontworpen/ontwikkeld door 1 persoon/Sun
Dat was nou juist de hele reden van de overname! Oracle bulkt van het geld, maar had hun complete technologie op Sun's Java gebouwd. Toen Sun door zijn geld heen raakte en de toekomst van Java dreigde te verzanden (Java 7 werd maar verder en verder uitgesteld), heeft Oracle de hele Sun boedel gekocht om zelf de Java development ter hand te nemen. Er is sindsdien enorm het gaspedaal ingedrukt, Java 7 is zo snel mogelijk gereleased (achteraf niet zo handig misschien, want er zitten blijkbaar nog grote bugs in), en Oracle heeft in IBM, SAP en Apple partners gevonden om de referentie JRE (OpenJDK) gezamenlijk te ontwikkelen ipv iedereen zijn eigen (IBM zat in Apache Harmony, Apple maakte vroeger zijn eigen JRE).

Eigenlijk had Oracle de hele browser plugin direct al na de overname in 2010 de nek om moeten draaien. Had ze misschien destijds een hoop kwaaie website bouwers opgeleverd, maar dan zaten ze nu niet met deze ellende - waar ze helemaal niet op zitten te wachten, want Oracle verdient volgens mij geen pepernoot aan websites met Java applets.

[Reactie gewijzigd door Dreamvoid op 15 januari 2013 18:15]

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True