Oracle dicht opnieuw Java-lekken met noodpatch

Oracle heeft een noodpatch uitgebracht voor Java nadat opnieuw zeroday-exploits zijn verschenen. Daarmee heeft Oracle de derde noodpatch in de afgelopen drie maanden uitgebracht om zo gaten in het Java-platform te dichten.

Oracle heeft de noodpatches uitgebracht voor Java 5, 6, en 7. Met de updates komt Java SE versie 5 uit op update 41, versie 6 op update 43 en versie 7 op update 17. Deze updates moeten onder andere een zeroday-kwetsbaarheid verhelpen die is ontdekt door de firma FireEye. De exploit zou een arbitrary memory read en write mogelijk maken in de Java Virtual machine, en al 'in het wild' gebruikt worden voor het verspreiden van malware.

Oracle zou mede omdat het lek al door aanvallers wordt misbruikt genoodzaakt zijn om de noodpatch uit te brengen. Oorspronkelijk zou de patch meegenomen worden in een updateronde die voor medio april was ingeboekt. Het lek zou al sinds begin februari bij Oracle bekend zijn.

Op 25 februari liet het Poolse bedrijf Security Explorations weten dat het weer een nieuw beveiligingsprobleem in Java heeft ontdekt. Oracle zou in eerste instantie hebben aangegeven dat het niet om een ernstige kwetsbaarheid gaat. Na de nodige onenigheid hierover heeft Oracle beloofd alsnog naar de bugmelding van Security Explorations te gaan kijken.

Door Dimitri Reijerman

Redacteur

05-03-2013 • 16:21

65

Lees meer

Apple blokkeert Java op Mac OS X
Apple blokkeert Java op Mac OS X Nieuws van 12 januari 2013

Reacties (65)

65
54
37
5
0
10
Wijzig sortering
Wordt een beetje java moe... elke keer als ik me pc aanslinger krijg ik wel weer een update voor de kiezen... en dan ook elke keer weer de vraag of ik er een toolbar bij wil |:( .
De exploits komen binnen via de Java browser addon/plugins. Deze plugins zijn nodig als je applets gebruikt. Maar bijna alle thuisgebruikers hebben geen applets nodig. Kwestie van die Java addons uitschakelen, en je hebt nergens meer last van en hoef je ook niet te updaten. Dit geldt overigens niet alleen voor Java maar voor elke addon/browser plugin: als je een plugin niet of zelden gebruikt, schakel het dan uit. Gebruik je het wel regelmatig, maak dan browser profielen aan, waarbij je een applet profiel alleen gebruikt voor de websites waar je een applet van wilt gebruiken.

Ik heb zelf standaard alles uitgeschakeld, behalve Adobe Flash (die ik ook regelmatig moet updaten vanwege Flash exploits).
Ik vraag me af waarom deze informatie niet in artikelen over de exploits in Java kunnen. Er staat niet hoe gebruikers getroffen worden, en hoe je het zou kunnen voorkomen.

Java is namelijk heel erg breed. Bijna elke telefoon draait Java. Android is gebaseerd op Java. Er zijn Java desktop applicaties. Java Applets. JavaFX. Embedded Java. Enz. enz.
Het is inderdaad jammer dat er telkens gewoon "Java" wordt gebruikt in artikels om te melden dat de Java-plugin blijkbaar weer ergens een lek heeft. Een hele programmeertaal wordt gelijkgesteld aan een plugin die de taal te sprake laat uitvoeren in een sandboxed omgeving in een browser - dat lijkt me allesbehalve fair.

Maar eigenlijk is dit voor een groot deel de fout van Oracle zelf. Ze bieden het aan als 1 pakket, waardoor mensen het onderscheid moeilijk kunnen maken. Ze zouden gewoon de Java runtime omgeving en de browser plugin als aparte installaties moeten voorzien. Als je de plugin installeert zonder dat je de JRE hebt, zou die dan automatisch geïnstalleerd worden. Maar de JRE zelf zou geen Java-plugin mogen bevatten. Ik kan me echter inbeelden dat zelfs dit voor veel gebruikers te ingewikkeld gaat zijn...

In elk geval: de optie om geen browser-plugin te installeren zou niet zo ver weggestopt mogen zitten. Er is met de laatste versies nu wel een optie bijgekomen om de plugin te disablen in het Java configuratiescherm (tab Security > "Enable Java content in the browser"), wat toch al een stap in de goede richting is.
Die toolbar is inderdaad irritant.. Schijnt nog een "erfenis" vanuit Sun te zijn, die hadden het in hun hoofd gehaald om een deal met Ask te sluiten.. Vraag me af hoeveel ze ervoor hebben gekregen destijds.
Gelukkig is het wel vrij duidelijk dat het vinkje uit kan, ipv sneaky ergens verstopt.
Van de Oracle website downloaden.
Daar zit ie niet in.
Sun is 3 jaar geleden overgenomen. Dus de ask.com deal is ouder dan 3 jaar. Dan moet ask.com wel een verschrikkelijk goede deal gemaakt hebben als het voor Oracle nog erfenis is.
http://www.oracle.com/tec...ads/index-jsp-138363.html

Kies voor de offline installer van Java7 of Java6 en bookmark java.oracle.com ipv java.com als je voortaan op zoek gaat naar de nieuwste installer.

[Reactie gewijzigd door RoestVrijStaal op 22 juli 2024 18:02]

En hoevaak krijg je een windows update...
De ontwikkelaars van Java bij Oracle willen de toolbar ook weg (zie blog). De toolbar uit de consumenten installer versie gaat niet gebeuren voor Java 8, welke dit jaar uit komt.
Grappig, dat dat nog gezegd wordt nu

"java is traag"

Iedereen die dat denk moet eens de Java VM gaan bekijken, dat is een ongelooflijk stukje software. State of the Art.

Ook is die tegenwoordig zo goed dat hij code al sneller kan krijgen dan statische gecompileerde code. Dit komt door dat hij hele stukken code al weg kan gooien, hele if structuren er uit kan halen omdat hij al ziet dat dat toch nooit gebeurd.
Ook kan hij bestaande code optimaliseren voor de huidige cpu's

Er draaien trouwens enorm veel talen al op die zelfde VM, denk aan vele scripting talen maar ook echt andere talen als SCALA
Bekijk alleen deze lijst maar eens: http://en.wikipedia.org/wiki/List_of_JVM_languages
Er zijn genoeg redenen om Java te gebruiken. Voornamelijk legacy applicaties, of de wat oudere applicaties, vaak binnen organisaties. Wij hebben er ook een paar van. Gelukkig worden dat er steeds minder.

Dat Oracle niets te bieden heeft is nogal kort door de bocht. Oracle staat voornamelijk bekend om hun databases en die worden wereldwijd nog steeds veel gebruikt.
alleen legacy apps?
Er worden nu nog zo veel applicaties ontwikkeld, ik doe de hele dag niks anders..
En naast mij nog vele vele andere ontwikkelaars .

Dan heb ik het nog niet eens over alle android apps, ok die draaien niet op de Oracle vm

Maar er is ook weinig mis met de vm zelf, want ja als je gewoon een deskop app al draait dan heb je alle rechten al dus je kunt alles al.
Dit is dus puur meer te maken voor sandboxed apps (applets en misschien webstart apps)
Java is inderdaad verre van dood. Java in de browser is wel zo goed als uitgestorven.
heel veel applicaties werken nog met java , vooral in de bedrijfssectoren.
En andere talen zijn wel veilig? Dit ligt meer aan je manier van programmeren. PHP kan ook onveilig zijn als je niks afvangt. Wat een onzin kraam je uit.
Jij veel plezier met meer onzin uitkramen. Browser plugin uitzetten en niks aan de hand. Programmeren met Java doe ik dagelijks.

[Reactie gewijzigd door Zidane007nl op 22 juli 2024 18:02]

Adobe Flash en Oracle Java zijn de belangrijkste reden waarom computers worden besmet met virussen en dergelijke.

Als je echt wat aan veiligheid wilt doen dan verwijder je Flash en Java van alle computers.

Thuis gebruik ik geen Java en Flash meer.

Bij veel bedrijven draaien legacy apps nog in client-side java en daar vanaf komen is vaak niet een prioriteit. Dom. Client-side Java == Legacy sowieso.

[Reactie gewijzigd door Q op 22 juli 2024 18:02]

Anoniem: 434945 @Q6 maart 2013 04:44
Ik denk eerder Windows, Apple en linux hebben beide veel minder problemen. Ach in mijn Windows tijdperk ook nooit virussen gehad, zolang je maar je hersens gebruikt..
Client-side java is geen legacy, Er zijn genoeg consumenten applicaties in java geschreven. Minecraft en Vuze/Azureus bijvoorbeeld.
Als je nou gezegd had browser-based java dood is, dan heb je inderdaad gelijk. Alleen legacy sites gebruiken nog applets.
Goed werk van Oracle. Wat mij betreft komen er twee patches per dag uit indien nodig.Je hebt zelf de keuze om die te installeren of niet (als je Java hebt uitgeschakeld maakt 't allemaal niet zoveel uit).
Anoniem: 378222 5 maart 2013 16:40
Desondanks de grootte van een bedrijf zoals oracle en hoe moeilijk het ook gaat zijn om dit door te voeren maar ik hoop dat er enige versnelling komt in de update cycle van oracle.

Offtopic:Java staat bij mij uit in alle browsers. Het enige waar ik het voor gebruik is minecraft en die heb ik portable gemaakt door deze naar een vooraf geinstalleerde versie van java in eigen map te laten wijzen. Van applets wordt tegenwoordig niet zo veel meer gebruik gemaakt behalve voor bedrijfsapplicaties dus een gemiddelde gebruiker kan thuis dit prima uit zetten.

[Reactie gewijzigd door Anoniem: 378222 op 22 juli 2024 18:02]

Maar op de 35 computers die ik beheer, macs, windows en linux machines, is het een nachtmerrie.
Heb ik ook gedaan, dan pas kom je er achter hoeveel sites toch met Java werken.
Bij mij precies 0. Ik kwam het laatst wel tegen op de Dell iDrac webinterface, maar die remote werkte toch al niet onder Linux (dell... :r) dus missen zal ik het niet.
Gooi tegenwoordig Java er bij thuisgebruikers standaard helemaal af. Heb er nog niemand over horen klagen en het zijn bijna altijd sterk verouderde versies die je aantreft. Voor particulier thuisgebruik zijn het volgens mij alleen nog nog maar oude of vrij specifieke programma's die Java nodig hebben. Ook LibreOffice werkt prima zonder.
Nu vraag ik me af in hoeverre dit soort bugs terug te vinden zijn in de openjre.
* OpenJDK 6 is troep, het is traag en draait een hoop applicaties niet. Alleen een paar linux distro's gebruiken dat, de rest van de wereld laat het gelukkig links liggen.
* OpenJDK 7 is eigenlijk hetzelfde als Oracle Java 7 (deze is gebaseerd op de OpenJDK code) en zal dus dezelfde compatibiliteit en bugs bevatten. Distro's zijn meestal snel in het uitbrengen van fixes, maar dan moet er eerst een fix beschikbaar zijn.
Ook wel belangrijk detail bij Java 6 :
This release is the last of publicly available JDK 6 Updates. Oracle recommends that users migrate to JDK 7 in order to continue receiving public updates and security enhancements. All JDK 6 releases up to and including 6u43 will be moved to Java Archive, where they will remain available but will not receive updates. For users who require continued access to JDK 6 updates, long term support is available through the Java SE Support program.
Terwijl er nog genoeg programma's in omloop zijn die niet ok werken als je java 7 installed hebt.
En je weet dat er over 2 weken wel weer een nieuwe noodpatch komt.
Welke dan? Hier op kantoor gebruiken we al een jaar ofzo alleen nog maar java 7.
Equallogic group manager werkt nog niet alles ok in 7.
En maconomy (al hebben we hier nog oudere versie van)
Mijn MSE heeft ook nogal wat exploits gevonden en veel van mijn java apps draaien super traag
vind het apart dat java zo lek is en snap ook niet waarom oracle dit niet eens goed uitwerkt
Jij hebt denk ik geen idee van de aard van dit soort lekken, hoe ze veroorzaakt worden en hoeveel moeite het kost om ze op zo'n manier te dichten dat bestaande programmatuur blijft werken.
Petje af voor Oracle dat ze nu zo vaak patches uitbrengen.
Hmm... als je zo snel na elkaar patches voor stevige gaten in je software uit moet brengen, dan is er wel iets fundamenteel mis met de manier waarop je je software bouwt...

Jij vindt het knap van Oracle dat ze zo snel zijn - ik persoonlijk (en ik vermoed meer mensen met mij) vinden dat Java maar broddelwerk. Op kantoor weten ze van gekkigheid niet meer welke versie ze nou moeten uitrollen naar de desktops. Elke patch wordt binnen een dag gevolgd door aankondigingen dat er nog meer gaten zijn gevonden - slechte reclame voor Oracle...

Oh - en voor de Tweakers met humor: http://java-0day.com/ ; "Days since last known Java 0-day exploit"

Aantal Java vulnerabilities ontdekt in de afgelopen 3 maanden: 87. Veel daarvan worden gecategoriseerd als HIGH

http://web.nvd.nist.gov/v..._type=last3months&cves=on

[Reactie gewijzigd door Tukkertje-RaH op 22 juli 2024 18:02]

Hmm... als je zo snel na elkaar patches voor stevige gaten in je software uit moet brengen, dan is er wel iets fundamenteel mis met de manier waarop je je software bouwt...

Jij vindt het knap van Oracle dat ze zo snel zijn - ik persoonlijk (en ik vermoed meer mensen met mij) vinden dat Java maar broddelwerk. Op kantoor weten ze van gekkigheid niet meer welke versie ze nou moeten uitrollen naar de desktops. Elke patch wordt binnen een dag gevolgd door aankondigingen dat er nog meer gaten zijn gevonden - slechte reclame voor Oracle...
Onzin, fouten worden overal en altijd gemaakt bij dit soort complexe projecten, is dus onzin als je twee lekken vind achter elkaar om zo een conclusie te trekken. Overal zitten bugs in, zelfs in onze cpu zitten honderden bugs.

Jij denkt toch niet dat daar twee mensen zitten die naar elkaar kijken, en dan bedenken ach het is maandag morgen laten we lek maar niet dichten heb er geen zit in. Zit heel afdeling dag en nacht te werken aan java code.

Waarom vallen er nog vliegtuigen uit de lucht? Juist ja door fouten, en dat is wel even iets belangrijker dan java bug, en staat onder hele scherpe toezicht veel meer dan java ontwikkelaars staan, en nog worden er fouten gemaakt.

Wat onderscheid je dan wel, de manier van handelen en omgaan met de fouten, dat maakt je een goed of slecht bedrijf, niet dat je fouten hebt gemaakt dat is bij dit soort complexe projecten vanzelfsprekend dat die gemaakt zijn en komende jaren ook nog steeds gemaakt zullen worden tot we er iets op denken wat ons behoed voor alle fouten.
En juist de manier van fouten afhandelen is bij Oracle heel slecht. Ze denken dat het acceptabel is om een fix pas na een maand uit te brengen, alleen omdat het de vorige maandelijkse patchdag niet heeft gehaald.
Dat soort release schema's zijn sowieso van de zotte. Ik heb gehoord dat dit komt vanuit het bedrijfsleven, omdat de gemiddelde IT beheerder te lui is om zelf update policies te bepalen, maar dat is geen reden om dan de rest van de wereld, die misschien wel die 0-day gefixt wil hebben, maar moet wachten, om een paar managers tevreden te houden.
Oracle = :r
Tja, Java draait op 2 miljard devices (aldus Oracle zelf), niet heel vreemd dat het meer en meer doelwit is van hackers. Net zoals Flash dat al jaren is.
Op kantoor gewoon de java plugin in de browser uitzetten, dan is er weinig aan de hand.

Java is een veel gebruikte taal met een enorm groot toepassingsgebied, een gelijkwaardige taal zal minstens zoveel lekken bevatten. Die lekken worden pas relevant, en actief opgezocht, als er veel gebruikers zijn.

Er komen ook meer en meer virussen voor Mac en Linux bijvoorbeeld, terwijl men veelal de illusie heeft dat Mac en Linux veel veiliger zijn dan Windows.

Het is ook een spelletje van die security bedrijven om niet meteen alle lekken aan te melden, maar te wachten totdat eerdere lekken gedicht zijn. Dan lijkt het ineens opnieuw lek, maar was het een bestaand lek. Net als Jailbreaks voor iOS bijv, Apple stopt heel veel moeite in het lek-vrij proberen te krijgen, maar toch is een Jailbreak (en dus een zeer ernstig lek) steeds weer mogelijk.

[Reactie gewijzigd door CyBeRSPiN op 22 juli 2024 18:02]

Een gelijkwaardige taal? Wat dan...
Nog nooit zoveel exploits of bugs gehoord over C/C++ (maar dit kan zijn omdat het niet zo publiekelijk gebracht was indertijd, maar ik heb dan ook nog nooit over updates van C/C++ gehoord, volges mij is het daar gewoon of niet mogelijk, of extreem hard om de TAAL te exploiten)... En raad eens op hoeveel devices DAT gedraaid heeft en nog draait.

Wat? Moet je weg? Jammer...

(Natuurlijk werkt Java helemaal anders door zijn VM, maar je had het over een taal. Liever een crossplatform applicatie in een deftige taal dan in Java voor mij.)

[Reactie gewijzigd door Nha op 22 juli 2024 18:02]

Nog nooit zoveel exploits of bugs gehoord over C/C++ (maar dit kan zijn omdat het niet zo publiekelijk gebracht was indertijd, maar ik heb dan ook nog nooit over updates van C/C++ gehoord, volges mij is het daar gewoon of niet mogelijk, of extreem hard om de TAAL te exploiten)...
Oh
My
God

Ga je eens verdiepen in NullPointerExceptions en Buffer Overflows.
Dat waren de eieren van Columbus in de tijd dat virussen en wormen hun hoogtij vierden.

Tegenwoordig kan je geen boek over C of C++ openslaan of je wordt hardhandig met je neus op de mogelijke gevaren gedrukt als je je code daar niet op test.

Overigs vind ik je 'security through obscurity' benadering eng. Dat je niets hoort over exploits en bugs over een programeertaal / technologie, wil absoluut niet zeggen dat het veilig is.

Voor meer info verwijs in naar de comment van mad_max234hieronder.

[Reactie gewijzigd door RoestVrijStaal op 22 juli 2024 18:02]

Ga je eens verdiepen in NullPointerExceptions en Buffer Overflows.

Ja, ik moest zelf ook wel even gniffelen. Als er nou 1 taal is die zich bij uitstek leent voor exploits, dan is het C++ (en verwanten) wel. Dat komt voornamelijk omdat er geen 'holding-your-hand' detection is voor buffer-overflows e.d. Is je gereserveerde ruimte wat te krap bemeten en je gaat er overheen? Jammer dan voor jezelf (en leuk voor degene die je onzorgvuldige code uitbuit). Dat zal je in Perl bijv nooit gebeuren (althans ueber-zelden).

Die afwezigheid van totale controle is overigens working as intended. Dat is een taal als C ook niet echt aan te rekenen, overigens; want als je maar laag genoeg gaat, kom je vanzelf uit bij een taal waarbij niet voortdurend je handje vastgehouden wordt (zo is de Perl interpreter, die ik net noemde, zelf uiteraard ook weer geschreven in C).

Je zou, ironisch genoeg, dus haast kunnen zeggen dat vrijwel alle buffer-overflow achtige exploits, one way or the other, wel iets te maken hebben met C++.
Dus het feit dat je zelf je geheugen allocatie moet gaan controleren is een exploit? Wat je bedoelt is dat deze fouten gebeuren door brakke code, en niet door een lek in de C runtimes/libraries/... Dus in welke zin is dit dan weer een exploit op C?
Het gebrek aan handjes-vasthouden is blijkbaar al exploiten tegenwoordig, ook weer bijgeleerd, altijd leuk.

Bugs in code zijn helemaal niet hetzelfde als exploits in bv de Java VM. Daar hoort immers enkel de code van dat specifiek programma gefixed te worden, en niet de ganse VM.

Java probeert inderdaad een hoop zelf te doen zodat de programmeur het niet hoeft te doen, en daar is op zich niks op tegen (garbage collection vind ik zelf ook een heel leuk iets namelijk). Maar als er daardoor dingen kunnen ge-exploit worden, dan ligt dit wel aan Java, en dan mag je code nog zo stevig als een huis zijn, dan ben je er nog altijd kwetsbaar aan.
Maar je input sanitizen en je geheugen gaan controleren, of de nodige bugs in je code omtrent deze zaken, hebben niks te maken met de taal of runtimes, maar met je code. Tot je taal het allemaal voor jou regelt, want dan is het buiten je controle.
2 dus? Die je in meerdere of mindere mate kunt voorkomen.
Ik denk dat er wel een reden is dat belangrijke delen van een OS niet in java gaan staan. ;)

Want zeg nu zelf, jouw tegen-argumenten zijn toch niet écht sterk genoeg.... 8)7
Dit zijn geen bugs in de taal Java maar in de runtime. De browser plugin maakt het mogelijk om code uit te voeren op de cliënt pc. De sandbox moet voorkomen dat er dingen gebeuren die niet toegestaan zijn, bijv. code runnen/installeren die blijft nadat de browser gesloten is. In deze sandbox worden lekken gevonden waardoor het toch mogelijk is buiten de sandbox code uit te voeren, wat gevaarlijk is.

C en C++ zijn dus helemaal niet vergelijkbaar met het deel van Java waar nu lekken in worden gevonden. Java applicaties die lokaal geïnstalleerd zijn vormen geen gevaar.

Vergelijkbaar met de browser plugin van Java zijn bijv. Silverlight, ActiveX en Flash en feitelijk browsers vaak zelf ook omdat je in browsers met JavaScript en HTML5 ook code uitvoert binnen een sandbox. Vrijwel alle voorgenoemde producten kampen dan ook met dezelfde problemen omdat het ontzettend moeilijk is om dit volledig dicht te timmeren.
Pardon?

als ik dit lees:
[qoute]
Oorspronkelijk zou de patch meegenomen worden in een updateronde die voor medio april was ingeboekt. Het lek zou al sinds begin februari bij Oracle bekend zijn.
[/qoute]

Houd ik mijn pet wel op voor Oracle hoor! Een lek dat al een maand bekend is gewoon tot "medio april" (dat is dus 2 maanden!) open laten terwijl je weet dat het een ernstig lek is?

Nee dankje, lekker veilig die troep...

en ja 't zal best tijd en moeite kosten maar als je de oplossing hebt gewoon nog een maand wachten??
De stap die microsoft genomen heeft ten tijde van XP SP2 lijkt oracle (/sun) nu pas beginnen te nemen. Er is lang gedacht dat java toch in een VM draait en dus niet kwetsbaar is.

Helaas is er al vele jaren aan java gewerkt, dus even de code auditen is er niet bij.

Petje af, maar jammer dat ze dat niet 10 jaar eerder aan zijn begonnen. Nu zal ik niet snel meer een nieuwe omgeving opzetten die java in de browser gebruikt. Door al deze problemen is java isn de browser niet meer een app die altijd beschikbaar is.
Het was sowieso al niet altijd beschikbaar. Het aantal java apps op het web was te klein om de massa aan te kunnen sporen tot installatie. Alleen bezoekers die al eerder java hadden geinstalleerd hebben het op hun computer. En met al die lekker zullen er steeds meer mensen zijn die het weer verwijderen.
En dat is maar goed ook. Het web wordt niet beter van al die gare proprietary plugins. ActiveX en Silverlight zijn al dood, en Flash begint gelukkig dezelfde kant op te gaan nu de grootste reden om flash te installeren, namelijk video's, al langzaam aan vervangen wordt door html5.
Komt Apple nu ook met een update voor Java 6?

Op dit item kan niet meer gereageerd worden.