Door Dimitri Reijerman, , reacties: 65, views: 13.107 •

Oracle heeft een noodpatch uitgebracht voor Java nadat opnieuw zeroday-exploits zijn verschenen. Daarmee heeft Oracle de derde noodpatch in de afgelopen drie maanden uitgebracht om zo gaten in het Java-platform te dichten.

Oracle heeft de noodpatches uitgebracht voor Java 5, 6, en 7. Met de updates komt Java SE versie 5 uit op update 41, versie 6 op update 43 en versie 7 op update 17. Deze updates moeten onder andere een zeroday-kwetsbaarheid verhelpen die is ontdekt door de firma FireEye. De exploit zou een arbitrary memory read en write mogelijk maken in de Java Virtual machine, en al 'in het wild' gebruikt worden voor het verspreiden van malware.

Oracle zou mede omdat het lek al door aanvallers wordt misbruikt genoodzaakt zijn om de noodpatch uit te brengen. Oorspronkelijk zou de patch meegenomen worden in een updateronde die voor medio april was ingeboekt. Het lek zou al sinds begin februari bij Oracle bekend zijn.

Op 25 februari liet het Poolse bedrijf Security Explorations weten dat het weer een nieuw beveiligingsprobleem in Java heeft ontdekt. Oracle zou in eerste instantie hebben aangegeven dat het niet om een ernstige kwetsbaarheid gaat. Na de nodige onenigheid hierover heeft Oracle beloofd alsnog naar de bugmelding van Security Explorations te gaan kijken.

Onderwerpen

Gerelateerde content

Alle gerelateerde content (16)

Reacties (65)

Reactiefilter:-165054+137+25+30
Platte weergaveSorteer aflopendFaq
1 2
0 firest0rm
5 maart 2013 16:24
Mijn MSE heeft ook nogal wat exploits gevonden en veel van mijn java apps draaien super traag
vind het apart dat java zo lek is en snap ook niet waarom oracle dit niet eens goed uitwerkt
+1 CyBeRSPiN
@firest0rm5 maart 2013 16:28
Jij hebt denk ik geen idee van de aard van dit soort lekken, hoe ze veroorzaakt worden en hoeveel moeite het kost om ze op zo'n manier te dichten dat bestaande programmatuur blijft werken.
Petje af voor Oracle dat ze nu zo vaak patches uitbrengen.
+1 Tukkertje-RaH
@CyBeRSPiN5 maart 2013 16:49
Hmm... als je zo snel na elkaar patches voor stevige gaten in je software uit moet brengen, dan is er wel iets fundamenteel mis met de manier waarop je je software bouwt...

Jij vindt het knap van Oracle dat ze zo snel zijn - ik persoonlijk (en ik vermoed meer mensen met mij) vinden dat Java maar broddelwerk. Op kantoor weten ze van gekkigheid niet meer welke versie ze nou moeten uitrollen naar de desktops. Elke patch wordt binnen een dag gevolgd door aankondigingen dat er nog meer gaten zijn gevonden - slechte reclame voor Oracle...

Oh - en voor de Tweakers met humor: http://java-0day.com/ ; "Days since last known Java 0-day exploit"

Aantal Java vulnerabilities ontdekt in de afgelopen 3 maanden: 87. Veel daarvan worden gecategoriseerd als HIGH

http://web.nvd.nist.gov/v...e=last3months&cves=on

[Reactie gewijzigd door Tukkertje-RaH op 5 maart 2013 16:54]

+1 CyBeRSPiN
@Tukkertje-RaH5 maart 2013 16:59
Tja, Java draait op 2 miljard devices (aldus Oracle zelf), niet heel vreemd dat het meer en meer doelwit is van hackers. Net zoals Flash dat al jaren is.
Op kantoor gewoon de java plugin in de browser uitzetten, dan is er weinig aan de hand.

Java is een veel gebruikte taal met een enorm groot toepassingsgebied, een gelijkwaardige taal zal minstens zoveel lekken bevatten. Die lekken worden pas relevant, en actief opgezocht, als er veel gebruikers zijn.

Er komen ook meer en meer virussen voor Mac en Linux bijvoorbeeld, terwijl men veelal de illusie heeft dat Mac en Linux veel veiliger zijn dan Windows.

Het is ook een spelletje van die security bedrijven om niet meteen alle lekken aan te melden, maar te wachten totdat eerdere lekken gedicht zijn. Dan lijkt het ineens opnieuw lek, maar was het een bestaand lek. Net als Jailbreaks voor iOS bijv, Apple stopt heel veel moeite in het lek-vrij proberen te krijgen, maar toch is een Jailbreak (en dus een zeer ernstig lek) steeds weer mogelijk.

[Reactie gewijzigd door CyBeRSPiN op 5 maart 2013 17:02]

+1 Nha
@CyBeRSPiN5 maart 2013 18:55
Een gelijkwaardige taal? Wat dan...
Nog nooit zoveel exploits of bugs gehoord over C/C++ (maar dit kan zijn omdat het niet zo publiekelijk gebracht was indertijd, maar ik heb dan ook nog nooit over updates van C/C++ gehoord, volges mij is het daar gewoon of niet mogelijk, of extreem hard om de TAAL te exploiten)... En raad eens op hoeveel devices DAT gedraaid heeft en nog draait.

Wat? Moet je weg? Jammer...

(Natuurlijk werkt Java helemaal anders door zijn VM, maar je had het over een taal. Liever een crossplatform applicatie in een deftige taal dan in Java voor mij.)

[Reactie gewijzigd door Nha op 5 maart 2013 18:57]

+2 RoestVrijStaal
@Nha5 maart 2013 19:05
Nog nooit zoveel exploits of bugs gehoord over C/C++ (maar dit kan zijn omdat het niet zo publiekelijk gebracht was indertijd, maar ik heb dan ook nog nooit over updates van C/C++ gehoord, volges mij is het daar gewoon of niet mogelijk, of extreem hard om de TAAL te exploiten)...
Oh
My
God

Ga je eens verdiepen in NullPointerExceptions en Buffer Overflows.
Dat waren de eieren van Columbus in de tijd dat virussen en wormen hun hoogtij vierden.

Tegenwoordig kan je geen boek over C of C++ openslaan of je wordt hardhandig met je neus op de mogelijke gevaren gedrukt als je je code daar niet op test.

Overigs vind ik je 'security through obscurity' benadering eng. Dat je niets hoort over exploits en bugs over een programeertaal / technologie, wil absoluut niet zeggen dat het veilig is.

Voor meer info verwijs in naar de comment van mad_max234 hieronder.

[Reactie gewijzigd door RoestVrijStaal op 5 maart 2013 19:09]

0 Nha
@RoestVrijStaal5 maart 2013 19:15
2 dus? Die je in meerdere of mindere mate kunt voorkomen.
0 egnappahz
@RoestVrijStaal5 maart 2013 20:04
Ik denk dat er wel een reden is dat belangrijke delen van een OS niet in java gaan staan. ;)

Want zeg nu zelf, jouw tegen-argumenten zijn toch niet écht sterk genoeg.... 8)7
+1 albatross
@RoestVrijStaal5 maart 2013 20:53
Ga je eens verdiepen in NullPointerExceptions en Buffer Overflows.

Ja, ik moest zelf ook wel even gniffelen. Als er nou 1 taal is die zich bij uitstek leent voor exploits, dan is het C++ (en verwanten) wel. Dat komt voornamelijk omdat er geen 'holding-your-hand' detection is voor buffer-overflows e.d. Is je gereserveerde ruimte wat te krap bemeten en je gaat er overheen? Jammer dan voor jezelf (en leuk voor degene die je onzorgvuldige code uitbuit). Dat zal je in Perl bijv nooit gebeuren (althans ueber-zelden).

Die afwezigheid van totale controle is overigens working as intended. Dat is een taal als C ook niet echt aan te rekenen, overigens; want als je maar laag genoeg gaat, kom je vanzelf uit bij een taal waarbij niet voortdurend je handje vastgehouden wordt (zo is de Perl interpreter, die ik net noemde, zelf uiteraard ook weer geschreven in C).

Je zou, ironisch genoeg, dus haast kunnen zeggen dat vrijwel alle buffer-overflow achtige exploits, one way or the other, wel iets te maken hebben met C++.
+1 Nha
@albatross7 maart 2013 09:06
Dus het feit dat je zelf je geheugen allocatie moet gaan controleren is een exploit? Wat je bedoelt is dat deze fouten gebeuren door brakke code, en niet door een lek in de C runtimes/libraries/... Dus in welke zin is dit dan weer een exploit op C?
Het gebrek aan handjes-vasthouden is blijkbaar al exploiten tegenwoordig, ook weer bijgeleerd, altijd leuk.

Bugs in code zijn helemaal niet hetzelfde als exploits in bv de Java VM. Daar hoort immers enkel de code van dat specifiek programma gefixed te worden, en niet de ganse VM.

Java probeert inderdaad een hoop zelf te doen zodat de programmeur het niet hoeft te doen, en daar is op zich niks op tegen (garbage collection vind ik zelf ook een heel leuk iets namelijk). Maar als er daardoor dingen kunnen ge-exploit worden, dan ligt dit wel aan Java, en dan mag je code nog zo stevig als een huis zijn, dan ben je er nog altijd kwetsbaar aan.
Maar je input sanitizen en je geheugen gaan controleren, of de nodige bugs in je code omtrent deze zaken, hebben niks te maken met de taal of runtimes, maar met je code. Tot je taal het allemaal voor jou regelt, want dan is het buiten je controle.
+2 Sv3n
@Nha5 maart 2013 20:14
Dit zijn geen bugs in de taal Java maar in de runtime. De browser plugin maakt het mogelijk om code uit te voeren op de cliënt pc. De sandbox moet voorkomen dat er dingen gebeuren die niet toegestaan zijn, bijv. code runnen/installeren die blijft nadat de browser gesloten is. In deze sandbox worden lekken gevonden waardoor het toch mogelijk is buiten de sandbox code uit te voeren, wat gevaarlijk is.

C en C++ zijn dus helemaal niet vergelijkbaar met het deel van Java waar nu lekken in worden gevonden. Java applicaties die lokaal geïnstalleerd zijn vormen geen gevaar.

Vergelijkbaar met de browser plugin van Java zijn bijv. Silverlight, ActiveX en Flash en feitelijk browsers vaak zelf ook omdat je in browsers met JavaScript en HTML5 ook code uitvoert binnen een sandbox. Vrijwel alle voorgenoemde producten kampen dan ook met dezelfde problemen omdat het ontzettend moeilijk is om dit volledig dicht te timmeren.
+2 mad_max234
@Tukkertje-RaH5 maart 2013 17:22
Hmm... als je zo snel na elkaar patches voor stevige gaten in je software uit moet brengen, dan is er wel iets fundamenteel mis met de manier waarop je je software bouwt...

Jij vindt het knap van Oracle dat ze zo snel zijn - ik persoonlijk (en ik vermoed meer mensen met mij) vinden dat Java maar broddelwerk. Op kantoor weten ze van gekkigheid niet meer welke versie ze nou moeten uitrollen naar de desktops. Elke patch wordt binnen een dag gevolgd door aankondigingen dat er nog meer gaten zijn gevonden - slechte reclame voor Oracle...
Onzin, fouten worden overal en altijd gemaakt bij dit soort complexe projecten, is dus onzin als je twee lekken vind achter elkaar om zo een conclusie te trekken. Overal zitten bugs in, zelfs in onze cpu zitten honderden bugs.

Jij denkt toch niet dat daar twee mensen zitten die naar elkaar kijken, en dan bedenken ach het is maandag morgen laten we lek maar niet dichten heb er geen zit in. Zit heel afdeling dag en nacht te werken aan java code.

Waarom vallen er nog vliegtuigen uit de lucht? Juist ja door fouten, en dat is wel even iets belangrijker dan java bug, en staat onder hele scherpe toezicht veel meer dan java ontwikkelaars staan, en nog worden er fouten gemaakt.

Wat onderscheid je dan wel, de manier van handelen en omgaan met de fouten, dat maakt je een goed of slecht bedrijf, niet dat je fouten hebt gemaakt dat is bij dit soort complexe projecten vanzelfsprekend dat die gemaakt zijn en komende jaren ook nog steeds gemaakt zullen worden tot we er iets op denken wat ons behoed voor alle fouten.
+1 kozue
@mad_max2346 maart 2013 12:46
En juist de manier van fouten afhandelen is bij Oracle heel slecht. Ze denken dat het acceptabel is om een fix pas na een maand uit te brengen, alleen omdat het de vorige maandelijkse patchdag niet heeft gehaald.
Dat soort release schema's zijn sowieso van de zotte. Ik heb gehoord dat dit komt vanuit het bedrijfsleven, omdat de gemiddelde IT beheerder te lui is om zelf update policies te bepalen, maar dat is geen reden om dan de rest van de wereld, die misschien wel die 0-day gefixt wil hebben, maar moet wachten, om een paar managers tevreden te houden.
Oracle = :r
+1 TheGhost
@CyBeRSPiN5 maart 2013 17:12
Pardon?

als ik dit lees:
[qoute]
Oorspronkelijk zou de patch meegenomen worden in een updateronde die voor medio april was ingeboekt. Het lek zou al sinds begin februari bij Oracle bekend zijn.
[/qoute]

Houd ik mijn pet wel op voor Oracle hoor! Een lek dat al een maand bekend is gewoon tot "medio april" (dat is dus 2 maanden!) open laten terwijl je weet dat het een ernstig lek is?

Nee dankje, lekker veilig die troep...

en ja 't zal best tijd en moeite kosten maar als je de oplossing hebt gewoon nog een maand wachten??
+1 leuk_he
@CyBeRSPiN5 maart 2013 17:55
De stap die microsoft genomen heeft ten tijde van XP SP2 lijkt oracle (/sun) nu pas beginnen te nemen. Er is lang gedacht dat java toch in een VM draait en dus niet kwetsbaar is.

Helaas is er al vele jaren aan java gewerkt, dus even de code auditen is er niet bij.

Petje af, maar jammer dat ze dat niet 10 jaar eerder aan zijn begonnen. Nu zal ik niet snel meer een nieuwe omgeving opzetten die java in de browser gebruikt. Door al deze problemen is java isn de browser niet meer een app die altijd beschikbaar is.
0 kozue
@leuk_he6 maart 2013 12:51
Het was sowieso al niet altijd beschikbaar. Het aantal java apps op het web was te klein om de massa aan te kunnen sporen tot installatie. Alleen bezoekers die al eerder java hadden geinstalleerd hebben het op hun computer. En met al die lekker zullen er steeds meer mensen zijn die het weer verwijderen.
En dat is maar goed ook. Het web wordt niet beter van al die gare proprietary plugins. ActiveX en Silverlight zijn al dood, en Flash begint gelukkig dezelfde kant op te gaan nu de grootste reden om flash te installeren, namelijk video's, al langzaam aan vervangen wordt door html5.
+1 BLACKfm
5 maart 2013 16:32
Wordt een beetje java moe... elke keer als ik me pc aanslinger krijg ik wel weer een update voor de kiezen... en dan ook elke keer weer de vraag of ik er een toolbar bij wil |:( .
+2 Cyb
@BLACKfm5 maart 2013 16:39
De exploits komen binnen via de Java browser addon/plugins. Deze plugins zijn nodig als je applets gebruikt. Maar bijna alle thuisgebruikers hebben geen applets nodig. Kwestie van die Java addons uitschakelen, en je hebt nergens meer last van en hoef je ook niet te updaten. Dit geldt overigens niet alleen voor Java maar voor elke addon/browser plugin: als je een plugin niet of zelden gebruikt, schakel het dan uit. Gebruik je het wel regelmatig, maak dan browser profielen aan, waarbij je een applet profiel alleen gebruikt voor de websites waar je een applet van wilt gebruiken.

Ik heb zelf standaard alles uitgeschakeld, behalve Adobe Flash (die ik ook regelmatig moet updaten vanwege Flash exploits).
+1 majoh
@Cyb5 maart 2013 17:03
Ik vraag me af waarom deze informatie niet in artikelen over de exploits in Java kunnen. Er staat niet hoe gebruikers getroffen worden, en hoe je het zou kunnen voorkomen.

Java is namelijk heel erg breed. Bijna elke telefoon draait Java. Android is gebaseerd op Java. Er zijn Java desktop applicaties. Java Applets. JavaFX. Embedded Java. Enz. enz.
+1 Glodenox
@majoh5 maart 2013 23:08
Het is inderdaad jammer dat er telkens gewoon "Java" wordt gebruikt in artikels om te melden dat de Java-plugin blijkbaar weer ergens een lek heeft. Een hele programmeertaal wordt gelijkgesteld aan een plugin die de taal te sprake laat uitvoeren in een sandboxed omgeving in een browser - dat lijkt me allesbehalve fair.

Maar eigenlijk is dit voor een groot deel de fout van Oracle zelf. Ze bieden het aan als 1 pakket, waardoor mensen het onderscheid moeilijk kunnen maken. Ze zouden gewoon de Java runtime omgeving en de browser plugin als aparte installaties moeten voorzien. Als je de plugin installeert zonder dat je de JRE hebt, zou die dan automatisch geïnstalleerd worden. Maar de JRE zelf zou geen Java-plugin mogen bevatten. Ik kan me echter inbeelden dat zelfs dit voor veel gebruikers te ingewikkeld gaat zijn...

In elk geval: de optie om geen browser-plugin te installeren zou niet zo ver weggestopt mogen zitten. Er is met de laatste versies nu wel een optie bijgekomen om de plugin te disablen in het Java configuratiescherm (tab Security > "Enable Java content in the browser"), wat toch al een stap in de goede richting is.
+1 CyBeRSPiN
@BLACKfm5 maart 2013 16:39
Die toolbar is inderdaad irritant.. Schijnt nog een "erfenis" vanuit Sun te zijn, die hadden het in hun hoofd gehaald om een deal met Ask te sluiten.. Vraag me af hoeveel ze ervoor hebben gekregen destijds.
Gelukkig is het wel vrij duidelijk dat het vinkje uit kan, ipv sneaky ergens verstopt.
+1 SPee
@CyBeRSPiN5 maart 2013 18:29
Van de Oracle website downloaden.
Daar zit ie niet in.
+1 elmuerte
@CyBeRSPiN5 maart 2013 18:34
Sun is 3 jaar geleden overgenomen. Dus de ask.com deal is ouder dan 3 jaar. Dan moet ask.com wel een verschrikkelijk goede deal gemaakt hebben als het voor Oracle nog erfenis is.
+1 RoestVrijStaal
@CyBeRSPiN5 maart 2013 19:12
http://www.oracle.com/tec...ads/index-jsp-138363.html

Kies voor de offline installer van Java7 of Java6 en bookmark java.oracle.com ipv java.com als je voortaan op zoek gaat naar de nieuwste installer.

[Reactie gewijzigd door RoestVrijStaal op 5 maart 2013 19:13]

+1 Cobalt
@Mulder_fox5 maart 2013 19:19
De ontwikkelaars van Java bij Oracle willen de toolbar ook weg (zie blog). De toolbar uit de consumenten installer versie gaat niet gebeuren voor Java 8, welke dit jaar uit komt.
0 joco
@BLACKfm5 maart 2013 22:18
En hoevaak krijg je een windows update...
+1 El_ByteMaster
5 maart 2013 16:33
Goed werk van Oracle. Wat mij betreft komen er twee patches per dag uit indien nodig.Je hebt zelf de keuze om die te installeren of niet (als je Java hebt uitgeschakeld maakt 't allemaal niet zoveel uit).
+1 Katsumii
5 maart 2013 16:40
Desondanks de grootte van een bedrijf zoals oracle en hoe moeilijk het ook gaat zijn om dit door te voeren maar ik hoop dat er enige versnelling komt in de update cycle van oracle.

Offtopic:Java staat bij mij uit in alle browsers. Het enige waar ik het voor gebruik is minecraft en die heb ik portable gemaakt door deze naar een vooraf geinstalleerde versie van java in eigen map te laten wijzen. Van applets wordt tegenwoordig niet zo veel meer gebruik gemaakt behalve voor bedrijfsapplicaties dus een gemiddelde gebruiker kan thuis dit prima uit zetten.

[Reactie gewijzigd door Katsumii op 5 maart 2013 16:42]

0 trogdor
@Katsumii5 maart 2013 17:23
Maar op de 35 computers die ik beheer, macs, windows en linux machines, is het een nachtmerrie.
0 Toine1
@Katsumii6 maart 2013 09:04
Heb ik ook gedaan, dan pas kom je er achter hoeveel sites toch met Java werken.
0 kozue
@Toine16 maart 2013 12:57
Bij mij precies 0. Ik kwam het laatst wel tegen op de Dell iDrac webinterface, maar die remote werkte toch al niet onder Linux (dell... :r) dus missen zal ik het niet.
+1 Steenvoorde
@jaccobrand5 maart 2013 17:55
Er zijn genoeg redenen om Java te gebruiken. Voornamelijk legacy applicaties, of de wat oudere applicaties, vaak binnen organisaties. Wij hebben er ook een paar van. Gelukkig worden dat er steeds minder.

Dat Oracle niets te bieden heeft is nogal kort door de bocht. Oracle staat voornamelijk bekend om hun databases en die worden wereldwijd nog steeds veel gebruikt.
+1 joco
@Steenvoorde5 maart 2013 22:32
alleen legacy apps?
Er worden nu nog zo veel applicaties ontwikkeld, ik doe de hele dag niks anders..
En naast mij nog vele vele andere ontwikkelaars .

Dan heb ik het nog niet eens over alle android apps, ok die draaien niet op de Oracle vm

Maar er is ook weinig mis met de vm zelf, want ja als je gewoon een deskop app al draait dan heb je alle rechten al dus je kunt alles al.
Dit is dus puur meer te maken voor sandboxed apps (applets en misschien webstart apps)
0 hackerhater
@joco6 maart 2013 10:53
Java is inderdaad verre van dood. Java in de browser is wel zo goed als uitgestorven.
+1 mwesterduin
@jaccobrand5 maart 2013 19:13
heel veel applicaties werken nog met java , vooral in de bedrijfssectoren.
+1 Zidane007nl
@jaccobrand5 maart 2013 20:13
En andere talen zijn wel veilig? Dit ligt meer aan je manier van programmeren. PHP kan ook onveilig zijn als je niks afvangt. Wat een onzin kraam je uit.
0 Zidane007nl
@jaccobrand6 maart 2013 10:12
Jij veel plezier met meer onzin uitkramen. Browser plugin uitzetten en niks aan de hand. Programmeren met Java doe ik dagelijks.

[Reactie gewijzigd door Zidane007nl op 6 maart 2013 10:15]

+2 joco
@jaccobrand5 maart 2013 22:28
Grappig, dat dat nog gezegd wordt nu

"java is traag"

Iedereen die dat denk moet eens de Java VM gaan bekijken, dat is een ongelooflijk stukje software. State of the Art.

Ook is die tegenwoordig zo goed dat hij code al sneller kan krijgen dan statische gecompileerde code. Dit komt door dat hij hele stukken code al weg kan gooien, hele if structuren er uit kan halen omdat hij al ziet dat dat toch nooit gebeurd.
Ook kan hij bestaande code optimaliseren voor de huidige cpu's

Er draaien trouwens enorm veel talen al op die zelfde VM, denk aan vele scripting talen maar ook echt andere talen als SCALA
Bekijk alleen deze lijst maar eens: http://en.wikipedia.org/wiki/List_of_JVM_languages
+1 matty___
5 maart 2013 18:38
Als we met java op internet zouden stoppen deed tweakers het ook niet meer. In de middelware is java nog steeds een van de meest gebruikte oplossingen en heeft het ook weinig met deze beveiligingsproblemen te maken.

in de front-end als in applets is het idd een gepasseerd station.
0 jaccobrand
@matty___5 maart 2013 23:51
Tijd dan dat er wat anders er voor in de plaats komt.
0 matty___
@jaccobrand6 maart 2013 09:22
ja laten we ruby on rails gebruiken |:(.
of laten we er wee een php laagje ertussen zetten.

Of had je nog andere geniale ideeen?

het java van tegenwoordig (1.7) is al reten snel. Je moet het zeker niet met de oude meuk vergelijken van 10 jaar geleden.

[Reactie gewijzigd door matty___ op 6 maart 2013 09:37]

+1 sambalbaj
5 maart 2013 18:44
Gooi tegenwoordig Java er bij thuisgebruikers standaard helemaal af. Heb er nog niemand over horen klagen en het zijn bijna altijd sterk verouderde versies die je aantreft. Voor particulier thuisgebruik zijn het volgens mij alleen nog nog maar oude of vrij specifieke programma's die Java nodig hebben. Ook LibreOffice werkt prima zonder.
1 2

Op dit item kan niet meer gereageerd worden.