Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 44, views: 21.663 •
Submitter: Jimmy89

Een voortijdig uitgegeven Java-update lost in totaal vijftig beveiligingsproblemen op, waaronder ernstige. De patch stond eigenlijk gepland voor later deze maand, maar wordt alvast uitgegeven omdat een van de geplette bugs in het wild wordt misbruikt.

JavaHet grootste deel van de geplette bugs had betrekking op de clientversie van Java: 44 beveiligingsproblemen zijn enkel aanwezig in de clientversie en 3 bugs zijn aanwezig in zowel de desktop- als de serverversie. Meer dan de helft van de verholpen beveiligingsproblemen, maar liefst 26, wordt gekwalificeerd als 'zeer ernstig': op een schaal van 1 tot 10 krijgen deze problemen de score 10 toegekend.

Een van de problemen wordt momenteel al door kwaadwillenden misbruikt, wat Oracle heeft doen besluiten om de patch alvast naar buiten te brengen. Onder de vijftig opgeloste beveiligingsproblemen bevindt zich overigens ook een lek dat eerder al is gedicht door middel van een tussentijdse patch. Normaliter brengt Oracle eens per kwartaal een beveiligingsupdate uit, waar bijvoorbeeld Microsoft dat eens per maand doet.

Java ligt in de afgelopen tijd steeds meer onder vuur, nadat verschillende keren beveiligingsproblemen naar voren kwamen die soms al in het wild werden misbruikt, zonder dat er een patch voorhanden was. Beveiligingsonderzoekers raadden geruikers af om Java te installeren. Uit onderzoek van zowel Kaspersky als Cisco blijkt dat kwetsbaarheden in Java het vaakst worden misbruikt om malware te verspreiden. Daarvoor worden vaak exploit-kits gebruikt, die kwetsbaarheden in software misbruiken om malware te installeren, bijvoorbeeld een trojan die bankgegevens probeert te stelen.

Reacties (44)

Dat de client-versie van java nog steeds wordt gebruikt, ik ben zelf Java developer, maar ik zie echt compleet geen meerwaarde van Java client-side t.o.v. native web front-ends
Wij gebruiken bijv applets om een teksverwerker lokaal te automatiseren, ondanks dat het fijn is dat oracle deze patch nu al released is wat mij betreft het kwaad al geschied, nu firefox plugins std niet meer aanzet kun je niet meer code uitvoeren zonder dat de gebruiker java moet activeren en dat is voor ons behoorlijk jammer.
"Wordt vrijgegeven" moet zijn "´s zondagmiddag vrijgegeven".
Ik kreeg hem gistermiddag al en verbaasde me dat Tweakers dat niet meteen als nieuws meldde.
Ook blijft de Java-browser-plugin na de update nu uit staan als je die eerder disabled had.

Ik neem aan dat ook die plugin nu weer veilig is, al wacht ik het nog een weekje af voordat ik hem weer aan zet. ;)
Hopelijk heeft Oracle iets geleerd van deze slechte publiciteit en komt het voortaan sneller met updates. (En hopelijk wordt een beloningsysteem om exploits en malware te melden gemeengoed onder de (grote) uitgevers)

[Reactie gewijzigd door Teijgetje op 4 februari 2013 11:23]

Met jou kan ik praten, java client is echt niet nodig, en zeker gezien de "brakke" beveiliging.
Soms heb je geen keuze, wij gebruiken een applet voor het zetten van een handtekening die gebasseerd is op lokaal geinstalleerde certificaten en een card reader die gekoppeld is aan een PC.

Dit zijn dingen die kan je niet met HTML / Javascript oplossen maar wel kan met behulp van een Applet. Sommige web-frontends hebben een hogere beveiligings graad nodig dan dat een browser bij default kan aanbieden (HTTPS / SSL), en dan moet je wel.
De "client versie" waar hier over gesproken wordt, heeft betrekking op het gebruik van Java in Applets en via Java Web Start. Dat is waar de meeste problemen opgelost zijn. Het gebruik van Java voor desktop applicaties staat hier nog los van, evenals het gebruik van de term "client" en "server" om twee verschillende varianten van dezelfde JVM aan te geven. Of, zoals een collega van mij wel eens zegt "if you're not confused by now, you haven't been paying attention".
het is de browser plugin die problemen geeft, dus Applets
Niet webstart, dat is iets anders, dat is gewoon een jnlp die je download en dan dat wordt opgestart door een speciaal programma (javaws).
Dat is dus net zoiets als pdf die je meteen laat openen in een pdf applicatie.
Als je het bericht leest wat Oracle heeft uitgevaardigd, dan gaat het wel degelijk om beide, Applets en WebStart: "44 of these vulnerabilities only affect client deployment of Java (e.g., Java in Internet browsers). In other words, these vulnerabilities can only be exploited on desktops through Java Web Start applications or Java applets."
Java kan toch voor veel meer dingen gebruikt worden dan alleen maar de webbrowser?

Hier op kantoor is een complete instant messaging omgeving op Java gebaseerd, en als ik het goed heb draait ook bijvoorbeeld Minecraft op java...
Er zijn genoeg Java applicaties waar geen sprake is van een client <-> server omgeving...
Ik toch wel degelijk - het is cross platform. Echt cross platform.

Om je maar een simpel voorbeeldje te geven, met ILO's, DRAC's e.d. kun je op afstand beheer van servers doen. Zonder java is dit alleen van windows mogelijk (en dat draai ik niet).
Ik vind het sowieso niet acceptabel om onveilige software te installeren waar maar 1x per kwartaal een patch voor uitkomt. Zoals het er nu voor staat zou Oracle minstens 1x per week updates moeten uitbrengen; in ieder geval tot alle ernstige problemen zijn opgelost.

Zelf heb ik Java van m'n computer af gekegeld. Het lijkt er wel op dat ik sindsdien periodiek moeite heb om bij Tweakers.net in te loggen, maar dat neem ik op de koop toe. Ik ben nog geen pagina's tegen gekomen die ik niet kon starten omdat ik geen 3rd-party Java ge´nstalleerd heb. Vooralsnog voldoet Firefox' eigen JAVA-engine prima.

Edit : Hoe kan dit nou een -1 krijgen ? Het is toch waar zeker ?

[Reactie gewijzigd door Titan_Fox op 4 februari 2013 12:47]

java!=javascript!

firefox heeft geen java engine en problemen met inloggen heeft niks te maken met java client.
@Zerot : Vooruit dan, mijn fout.

Overigens zij ik ook "Het lijkt er wel op dat ik sindsdien periodiek moeite heb om bij Tweakers.net in te loggen"

Ik heb Tweakers.net al meerdere keren hierover gecontacteerd, maar heb er vooralsnog geen reactie op gehad. Dit is wat er gebeurd :

- Ik klik op "Inloggen". Pagina blijft laden maar er gebeurt verder niks.
- Ik klik op het kruisje in de adresbalk (annuleren)
- Ik klik op het "Refresh" icoontje in de adresbalk (er gebeurt weer niks)
- Ik klik nogmaals op het kruisje en vervolgens op "Refresh"; nu krijg ik het login scherm.

Dit gebeurt iedere keer zo, of het nou overdag of s' avonds is maakt niet uit.

Het enige dat ik heb veranderd is het verwijderen van Java, vandaar dat ik het gevoel had dat dit er wat mee te maken had. Misschien is het een bug in Firefox v18.0.1...
De geplande updates zijn voor nieuwe features en eens in de twee, drie maanden is niet verkeerd. Security updates (oneven nummers) komen gewoon wanneer de security bugs gefixed zijn.
Heel mooi dat ze de boel patchen. Maar dat ze een toolbar installatie van ask in hun updater stoppen is echt schandalig.
Java staat niet bepaald bekend om zijn goede security reputatie. Volksstammen gebruiken Java het liefste al helemaal niet meer of slechts op afroep (zeg maar de click to play optie).

Het is natuurlijk belachelijk dat in een product zo oud en doorontwikkeld als Java er een tussentijdse release (V7 update 11) is waar maar liefst 44 beveiligingslekken in aanwezig zijn. Er is dan toch iets goed mis met je ontwerpproces, lijkt me.

[Reactie gewijzigd door Eagle Creek op 4 februari 2013 09:28]

Die snap ik idd totaal niet, ik ben bang dat Oracle java ziet als cash cow waar ze het maximale uit wil halen en even vergeet dat er best veel professionele toepassingen zijn voor java waar zo'n toolbar optie zeer ongewenst is
En zo zijn er wel meer. Flash probeert altijd wanhopig Google toolbar te installeren of Chrome. Die rommel hoef ik ook niet. Je moet goed opletten, anders eindig je met hoop ongewenste software.

Toch meer on topic, Oracle kon het niet maken om deze patch later uit te brengen. Het heeft in feite nog lang geduurd. En ik vraag me dan toch af hoeveel nieuwe lekken ze introduceren. Vorige patches losten problemen op, maar introduceerden ook gelijk een hoop nieuwe.
Die toolbar stamt nog uit de Sun tijd en ze zitten nog aan dat contract vast naar het schijnt.
Ik vind het nog schandaliger dat ook als ik aangeef de toolbar NIET te willen installeren ik na de installatie toch een map van ask.com in mn program files map heb.. Daar ben ik op mn (heel oude) laptop (met heel beperkte schijfruimte, komt soms aan op een paar MB) niet zo blij mee... iedere keer kan ik weer een paar MB weggooien. En wie weet wat dat ding er nog meer op gooit...
Weet je zeker dat het daardoor kwam? Ik vinkte de toolbar ook uit en heb geen map.
Ja, voor de installatie van de patch expres gecontroleerd en voor de installatie was hij er niet, daarna wel. Er zit nog alleen maar een "updater" in. maar toch is het weer een klein stukje schijfruimte wat je moet missen.. Overigens heb ik het net nog even gecheckt, en bij win7 doet hij het niet (mn laptop draait winXP) maar onder XP blijft hij die updater in program files zetten.
daar is toevallig laatst nog een artikel over geweest op computer world.

http://computerworld.nl/a...e-installeren-update.html
Sinds Firefox aankondigde bij een komende release de plugins niet meer automatisch uit te voeren en Apple onveilige Java versies gewoonweg blokkeert, is Oracle wel wakker geschud. Ze lijken bugs en security ineens wel serieus te nemen.

[Reactie gewijzigd door Phuncz op 4 februari 2013 09:58]

De patch lost misschien een hele hoop zaken op, maar die ASK toolbar is bijna een virus an sich 8)7
Helaas hebben veel bedrijven java nodig voor bepaalde programma's/websites.
De .exe is alleen een programmetje wat daadwerkelijk de java-applicatie opstart. Je hebt dus alsnog java nodig.
Kan de doorsnee gebruiker Java inmiddels niet gewoon de´nstalleren? Ik geloof dat je het vroeger nodig had voor telebankieren enzo, maar als je heden ten dagen geen exotische custom programma's voor je werkgever moet draaien kun je volgens mij toch wel zonder?
Ja, deinstalleren is vrijwel altijd zonder problemen. Het zijn voroal nog bedrijfsmatige programma's die het gebruiken.

En als dat niet kan, in ieder geval de browser plugin uit zetten. Je bent dan automatisch verlost van ruwweg 50% van alle malware op het internet.
Maar Java SE 7u13 is ook al uit! Waarom verwijst Oracle dan naar build 11? http://www.oracle.com/tec...k7-downloads-1880260.html
De update versie hoeft toch niet hetzelfde te zijn als het buildnummer? Het is gewoon Java versie 7, update 13 op basis van build 11. Niets mis mee.
Ter info:

De update is beschikbaar voor verschillende versies van Java
Version 7 Update 11 and earlier -> Version 7 Update 13
Version 6 Update 38 and earlier -> Version 6 Update 39
Version 5.0 Update 38 and earlier -> Version5.0 Update 39

Elke versie is beschikbaar in verschillende builds. De twee belangrijkste zijn :
Java JDK : Voor ontwikkelaars
Java JRE : Voor end-users

Jij hebt waarschijnlijk Java JRE nodig en deze kan je hier downloaden :
Online install : http://java.com/en/download/index.jsp
Offline install (voor netwerk administrators) : http://java.com/en/download/manual.jsp

Er wordt ook aangeraden om oudere versie te un-installeren, dus als je nog een versie 5 en/of 6 op je computer staan heb kan je deze best verwijderen. Je hebt genoeg aan de laatste versie (v7). Door de andere te laten staan vergroot je de kans op veiligheids lekken op je computer.
De Java installer blijkt oudere versies niet zelf te installeren.
Dus inderdaad: eerst zelf alle oudere versies uninstallen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneiPhone

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013