Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 13 reacties
Bron: Oracle, submitter: VHware

JavaOracle heeft update 45 voor versie 7.0 van zowel de developmentkit als de runtime-environment van Java Standard Edition uitgebracht. Het gaat om een reguliere en geplande update, die een aantal beveiligingsproblemen moet verhelpen. Daarnaast is er een wijziging gemaakt betreffende de werking van de tijd en datum. Hier zal nu een uitzondering voor worden gegeven als deze aangeroepen wordt door code die niet de juiste permissies heeft. Ook is er een waarschuwing toegevoegd als webpagina's LiveConnect-calls aanroepen in een RIA zonder juist te zijn ondertekend of geconfigureerd.

Java SE 7 Update 45 Changes

New Date/Time Capability

The java.util.TimeZone.setDefault(TimeZone) method has been changed to throw aSecurityException if the method is called by any code with which the security manager'scheckPermission call denies PropertyPermission("user.timezone", "write"). The new system property jdk.util.TimeZone.allowSetDefault (a boolean) is provided so that the compatible behavior can be enabled. The property will be evaluated only once when thejava.util.TimeZone class is loaded and initialized.

Security Changes

LiveConnect

This release introduces a new warning when web pages initiate LiveConnect calls into an RIA without being properly signed/configured. Planned for the future, Java SE 7 Upate 51, January 2014 will introduce a requirement that all RIAs distributed publicly be signed by a valid certificate and contain a new Permissions attribute. These changes only affect Applet & Web Start applications (Rich Internet Applications). They do not affect other areas, such as: server-side, embedded, or client. Read more in the blog LiveConnect changes in 7u45.

Protections Against Unauthorized Redistribution of Java Applications

Starting with 7u45, application developers can specify new JAR manifest file attributes:

Application-Name: This attribute provides a secure title for your RIA.

Caller-Allowable-Codebase: This attribute specifies the codebase/locations from which JavaScript is allowed to call Applet classes.

JavaScript to Java calls will be allowed without any security dialog prompt only if:

  • JAR is signed by a trusted CA, has the Caller-Allowable-Codebase manifest entry and JavaScript runs on the domain that matches it.
  • JAR is unsigned and JavaScript calls happens from the same domain as the JAR location.

The JavaScript to Java (LiveConnect) security dialog prompt is shown once per AppletclassLoader instance.

Application-Library-Allowable-Codebase: If the JNLP file or HTML page is in a different location than the JAR file, the Application-Library-Allowable-Codebase attribute identifies the locations from which your RIA can be expected to be started.

If the attribute is not present or if the attribute and location do not match, then the location of the JNLP file or HTML page is displayed in the security prompt shown to the user.

Note that the RIA can still be started in any of the above cases.

Developers can refer to JAR File Manifest Attributes for more information.

Restore Security Prompts

A new button is available in the Java Control Panel (JCP) to clear previously remembered trust decisions. A trust decision occurs when the user has selected the Do not show this again option in a security prompt. To show prompts that were previously hidden, click Restore Security Prompts. When asked to confirm the selection, click Restore All. The next time an application is started, the security prompt for that application is shown.

See Restore Security Prompts under the Security section of the Java Control Panel.

JAXP Changes

Starting from JDK 7u45, the following new processing limits are added to the JAXPFEATURE_SECURE_PROCESSING feature.

  • totalEntitySizeLimit
  • maxGeneralEntitySizeLimit
  • maxParameterEntitySizeLimit

For more information, see the new Processing Limits lesson in the JAXP Tutorial

Moderatie-faq Wijzig weergave

Reacties (13)

Het gaat om een reguliere en geplande update, die een aantal beveiligingsproblemen moet verhelpen
50 remote executable bugs vind ik nou geen reguliere update. hier mee info:

http://threatpost.com/ora...tely-executable-java-bugs
Vreselijke update! Al een tijdje uit inderdaad, op m'n werk allerlei problemen dankzij deze (slecht gedocumenteerde) wijzigingen!
Hier ook veel problemen bij een Cisco SSL VPN en een Citrix Java Client.
Enige optie die we tot nu tot gevonden hebben is downgraden naar 7.40 ˇf de JAR file bewerken en het manifest ofzo bewerken.
Ja same here. Heb vooral problemen met de manier waarop java omgaat met beveiligings cericaten en domain name checks sinds java 7. Daardoor hebben veel clients last met vpn toepassingen die werken via https portals.. Maargoed Oracle tech kennende zal dit wel weer maanden duren voordat er een oplossing voor komt.
Die checks kun je gewoon uitzetten hoor (als je het hebt over certificate revocation checks).
Nee dit probleem heeft met SNI support te maken. Ik gebruik een portal van Sonicwall om clients verbinding te laten maken over VNC. Helaas killed dat de client connectie sinds Java 7. Zie de info hieronder.

Certificaten heb ik geen probleem mee. Het wordt wel afgeraden om die check uit te zetten trouwens. Als je een een betrouwbaar certificaat hebt, kan je die gewoon in de Java truststore importeren en werkt de https verbinding zoals het hoort.

https://github.com/Lekens...ece9fb544f04bde5da7bfed4a

[Reactie gewijzigd door Noeandee op 28 oktober 2013 17:19]

iemand een idee, hoe de 64 bit versie via de auto-updater kunt laten bijwerken?! De 32 bits versie doet dit prima, echter de 64 bits heeft geen update instellingen knop meer..?!

(Ik neem aan dat deze update ook voor de 64 bits versie is?!)
www.ninite.com

die pakt je 32 en 64 bits

[Reactie gewijzigd door questarey op 24 oktober 2013 18:36]

Dat is dus niet de auto-updater van Java zelf. :z
Ik kreeg ook enkel de 32-bits versie automatisch.
De 64-bits daarom maar zelf gedownload.
Zo, ik weet niet wanneer dit gemeld is, maar deze is er al een tijdje...

http://www.java.com/nl/download/faq/release_dates.xml

Verder handig van die liveconnect calls, maar jammer dat er verder niet heel erg diep wordt ingegaan op de security updates. Dat moeten we dan maar geloven...
Dit automatisch aangeboden gekregen gisteren voor me Windows 8.1 waar ik ook al Java had ge´nstalleerd
Voor diegene die direct specifiek willen downloaden:

http://www.java.com/en/download/manual.jsp

[Reactie gewijzigd door Kosh66 op 25 oktober 2013 11:05]

Wat is nu precies nieuw, dat er een 64-bits versie is? De 32-bits versie van 7.45 staat sinds 18 september op m'n pc. Stond, niet staat, want ik heb alles verwijderd omdat ik het volgens mij nergens meer voor nodig heb.

Zou er een mogelijkheid zijn om bestaande applicaties te scannen op hun afhankelijkheid van Java? Het laatste wat ik tegenkwam aan applicaties die Java nodig hadden waren een scanner van F-secure, een webcam en een helpdeskapplicatie van HP.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True