In eerdere maar nog veel gebruikte versies van Suns Java-engine zijn drie kritieke fouten ontdekt die een aanvaller in staat kunnen stellen op afstand controle over een computersysteem te verkrijgen. De filosofie achter de Java Virtual Machine is juist dat een via een webpagina aangeroepen applet beperkte rechten heeft waardoor toegang tot het systeem buiten de webbrowser moet worden voorkomen; de ontdekte fouten kunnen er echter toe leiden dat een Java-applet qua toegangsrechten ernstig buiten zijn boekje treedt, en lokaal bestanden kan lezen en schrijven en applicaties kan starten. Zowel Windows- als Unix/Linux-systemen zijn gevoelig voor de kwetsbaarheden. Sun heeft voor alle drie de bugs veiligheidsbulletins gepubliceerd (1, 2, 3). Er zouden geen gevallen bekend zijn van exploitatie van de bugs door hackers. Vorig jaar werd een vergelijkbaar probleem met Suns Java ontdekt, en in maart werd (relatief onschuldige) spyware gevonden die zich schuilhield in een te downloaden Java archive. Hoewel veiligheidsproblemen met Suns Java minder frequent zijn dan met de standaard van meer toegangsmogelijkheden voorziene ActiveX-technologie van Microsoft, is de ontwikkeling voor gebruikers van alternatieve besturingssystemen en browsers enigszins zorgelijk; deze groep blijkt niet onkwetsbaar voor hack-aanvallen.
Drie kritieke bugs in Suns Java-engine
Door Mick de Neeve
Feedback • 30-11-2005 16:24 56Lees meer
Door Google gevonden Java-bugs opgelost
Nieuws van 14 juli 2007
Alan Cox: 'opensourcesoftware lang niet altijd veilig'
Nieuws van 27 oktober 2006
'Zelf compileren Linux-kernel maakt kwetsbaar'
Nieuws van 8 september 2006
Sun maakt plannen voor opensourceversie Java concreet
Nieuws van 15 augustus 2006
Sun versoepelt Java-licenties voor Linux
Nieuws van 5 mei 2006
Sun neemt Java-opperhoofd terug in dienst
Nieuws van 2 mei 2006
Linux-worm vermenigvuldigt zich door lek XML-RPC
Nieuws van 9 november 2005
Mozilla Foundation reageert op rapport Symantec
Nieuws van 22 september 2005
Meer veiligheidsproblemen gevonden in Firefox dan in IE
Nieuws van 19 september 2005
Spyware gebruikt Java: alternatieve browsers kwetsbaar
Nieuws van 19 maart 2005
Veiligheidslekken gevonden in Sun Java-plugin en Winamp
Nieuws van 26 november 2004
Reacties (56)
Kort samen gevat gaat het spreken ze in het artikel over een aantal bugs die een risico vormen. Maar met de laatste versie van JDK 5.0 Update 5, JRE 5.0 Update 5, J2SE v 1.4.2_10 JDK en J2SE v 1.4.2_10 JRE heb je er geen last van. http://java.sun.com
Verder zit er in alle software producten wel bugs, sommige kunnen gevaarlijker zijn dan andere. Maar naar mijn idee zou iedereen zijn software moeten onderhouden en de laaste versie gebruiken om problemen te voorkomen.
Verder zit er in alle software producten wel bugs, sommige kunnen gevaarlijker zijn dan andere. Maar naar mijn idee zou iedereen zijn software moeten onderhouden en de laaste versie gebruiken om problemen te voorkomen.
/u/45193/voodooless_small.png?f=community){kind=small}
We praten oven bugs die vermoedelijk nog in 90% van de JRE/JDK's zitten die gebruikt worden op dit moment.
Niet helemaal. Twee van de drie bugs zijn niet op 1.3 en 1.4 van toepassing, maar alleen op 1.5 t/m update 3. Aangezien JRE/JDK 1.5 meestal autoupdate heeft...
is het tegenwoordig een standaard om een artikel te maken over kritieke bugs?
want hoe meer publiciteit hoe meer aanvallen erop toch?
overal zitten wel bugs in
want hoe meer publiciteit hoe meer aanvallen erop toch?
overal zitten wel bugs in
Als bugs veel publiciteit krijgen hebben worden de developers "gedwongen" om zo snel mogelijk een patch uit te brengen.
Consumenten worden een beetje angstig en bepaalde software krijgt daardoor een naam (denk stereotype windows=onveilig etc). Dat wil je natuurlijk niet als bedrijf waardoor er in een volgende versie meer aandacht wordt besteed aan security (longhorn = security 1 van de belangrijkste voordelen volgens Gates).
Verder is het wel van belang dat consumenten weten of hun systeem onveilig is of niet door bepaalde software. Als java problemen geeft dan uninstall ik het wel, aangezien ik er verder niet veel gebruik van maak.
Het heeft dus ook zo zijn voordelen om bugs te vermelden.
Consumenten worden een beetje angstig en bepaalde software krijgt daardoor een naam (denk stereotype windows=onveilig etc). Dat wil je natuurlijk niet als bedrijf waardoor er in een volgende versie meer aandacht wordt besteed aan security (longhorn = security 1 van de belangrijkste voordelen volgens Gates).
Verder is het wel van belang dat consumenten weten of hun systeem onveilig is of niet door bepaalde software. Als java problemen geeft dan uninstall ik het wel, aangezien ik er verder niet veel gebruik van maak.
Het heeft dus ook zo zijn voordelen om bugs te vermelden.
Dat is hier dan niet echt nuttig, aangezien de meest recente versies van de JVM deze bugs dus al niet meer hebben.
:strip_icc():strip_exif()/u/85415/crop5da8419f35173_cropped.jpeg?f=community){kind=small}
Hoe meer aandacht, hoe sneller het gefixed wordt, hoe sneller eindgebruikers de patch zullen installeren.
Misschien als dit soort dingen vaker in het nieuws komen zullen de giganten der software zich een beetje gaan schamen voor hun lekke software en sneller in actie komen om patches uit te brengen...
Misschien als dit soort dingen vaker in het nieuws komen zullen de giganten der software zich een beetje gaan schamen voor hun lekke software en sneller in actie komen om patches uit te brengen...
Tegen dat een bug als deze gepubliceerd wordt, is er meestal wel al een update beschikbaar/kan men sneller werken aan een update...
Hier, helemaal onderaan word je toch aangeraden om de software te verwijderen
Hier, helemaal onderaan word je toch aangeraden om de software te verwijderen
/u/13469/ada.png?f=community){kind=small}
Om affected version te verwijderen ja. De meest recente versies zijn niet kwetsbaar, maar het is wel vrij normaal voor veel mensen om meerdere JDKs/JREs naast elkaar te hebben ge-installeerd.
Overigens word bij de meeste mensen (onder Windows) de JRE die in de browser wordt gebruikt automatisch geupdate of er wordt aangegeven dat er een nieuwe versie beschikbaar is. Dus ik denk dat veel mensen al de nieuwere niet kwetsbare versie hebben.
Overigens word bij de meeste mensen (onder Windows) de JRE die in de browser wordt gebruikt automatisch geupdate of er wordt aangegeven dat er een nieuwe versie beschikbaar is. Dus ik denk dat veel mensen al de nieuwere niet kwetsbare versie hebben.
Dat is exact de Microsoft mentaliteit! Daarnaast: het tegendeel is waarwant hoe meer publiciteit hoe meer aanvallen erop toch?
Dat is behoorlijk naief :-) De aanvallers zullen de originele artikelen op security sites en via prive kanalen binnen krijgen. Gebruikers zijn er juist bij gebaat dit soort dingen te weten zodat ze snel kunnen opgraden.
Jij bent voorstander van 'security through obscurity'? Een beetje kwaadwillend en vakkundig persoon laat zich daar absoluut niet door tegenhouden, dat idee is al vaak genoeg weerlegd.
Iedereen is er toch bij gebaat dat het internet zo snel mogelijk de vernieling in wordt gehackt? Dan zijn we meteen van alle ellende af..
Er is aan de andere kant ook wat te zeggen voor het feit, dat als een produkt nooit in de schijnwerpers wordt geplaatst voor veiligheidsproblemen, dat de gebruikers van dat produkt een gevoel krijgen van "ik hoef daar nooit meer naar om te kijken" wat erg gevaarlijk is.
Ik ben dus een grote voorstander van dit soort berichten, programmeurs besteden meer aandacht aan hun produkten, en de gemiddelde gebruiker is ook een stuk voorzichtiger, waardoor uiteindelijke misbruik steeds meer afneemt.
Ik ben dus een grote voorstander van dit soort berichten, programmeurs besteden meer aandacht aan hun produkten, en de gemiddelde gebruiker is ook een stuk voorzichtiger, waardoor uiteindelijke misbruik steeds meer afneemt.
Het is misschien geen populaire mening, maar het is wel degelijk waar dat het niet best voor Java is dat Sun nu de enige is met een VM. In het verleden kon je switchen tussen de MS VM en die van Sun: de MS versie was sneller en stabieler, maar die van Sun had altijd de laatste snufjes. Nu is er alleen Sun, en zonder concurrentie die ze hete adem in de nek blaast doen die inmiddels ook niet echt hun best meer. En dan moet je niet gek opkijken dat men langzaam overschakelt naar .NET, dat weliswaar ook maar door 1 bedrijf ontwikkeld wordt (Microsoft), maar dat wel veel meer mogelijkheden biedt en in een behoorlijk hoog tempo doorontwikkeld en geoptimaliseerd wordt.
:strip_icc():strip_exif()/u/1100/crop5a1c5df8066e1_cropped.jpeg?f=community){kind=small}
Voordeel is dat java multiplatform is en ms .net versie niet.. dus of we gaan allemaal aan mono/gtk# of we blijven gezellig bij java (al wordt natuurlijk breder gebruikt)
:strip_exif()/u/41306/web_anim.gif?f=community){kind=small}
Haha. Ja, de MS JVM *was* een stuk sneller. En ga eens tellen hoeveel problemen er met die MS JVM zijn geweest, dan denk ik dat je het labeltje "crap" van Sun naar MS verplaatst.
En Java is een fraai stukje werk. Als je Java een dood toewenst, dan snap je er verdomd weinig van.
En Java is een fraai stukje werk. Als je Java een dood toewenst, dan snap je er verdomd weinig van.
:strip_exif()/u/67404/C64.gif?f=community){kind=small}
Er is helemaal niks mis met java... alleen moet je het wel voor de juiste dingen gebruiken.
Applets zijn inderdaad bagger.... maar server-side java is daarentegen weer geweldig. Dus als men nou eens stopt met client-side java... komt java misschien een keer in een beter daglicht te staan.
Applets zijn inderdaad bagger.... maar server-side java is daarentegen weer geweldig. Dus als men nou eens stopt met client-side java... komt java misschien een keer in een beter daglicht te staan.
Waarom zijn applets bagger? Ik vind het prachtig. Je hebt een volledig en krachtig platform tot je beschikking, onafhankelijk van het platform waar de browser in draait. De gebruiker wordt niet verveeld met stomme (security) vragen & problemen (meestal dan 
) en het werkt gewoon.
Daar kan Flash of
AJAX niet tegenop. Ik vind het echt triest en sneu hoe ajax geprezen wordt voor dingen die sinds '95 al met een applet mogelijk zijn.
) en het werkt gewoon.Daar kan Flash of
AJAX niet tegenop. Ik vind het echt triest en sneu hoe ajax geprezen wordt voor dingen die sinds '95 al met een applet mogelijk zijn.
Heb je gelijk in, ik had het ook over client-side java (applets).
:strip_exif()/u/45006/strat.gif?f=community){kind=small}
Ja een pain in the ass, 5 jaar geleden. Inmiddels gui programmeer je een rondje om de concurrentie bijvoorbeeld met RCP van eclipse.
boude stelling, ik kan uit je reactie opmaken dat de klepel verkeer om je oor is ingeramd. lees je eens in, of post een discussie op got in P en W
Bla bla
Wat een onzin allemaal hier.
1. De MS JVM mag zich niet eens een Java VM noemen. Het ding voldoen aan geen enkele standaard, en de meeste apps zullen er dan ook amper op draaien.
2. MS JVM sneller? My ass, misschien met opstarten, maar dan houst het ook heel snel op
3. Altijd dat klassieke gezeur over trage GUI en shit. Who cares? Dat java een browserplugin is, is alleem bijzaak. Java leeft van enterprise applicaties. Daar is het gewoon erg goed in. Daarnaast zijn het vaak ook een berg vooroordelen, en zelden een goed onderbouwde mening. Java kan meer dan snel zat zijn voor vrijwel iedere toepassing (let wel, vrijwel iedere!)
1. De MS JVM mag zich niet eens een Java VM noemen. Het ding voldoen aan geen enkele standaard, en de meeste apps zullen er dan ook amper op draaien.
2. MS JVM sneller? My ass, misschien met opstarten, maar dan houst het ook heel snel op
3. Altijd dat klassieke gezeur over trage GUI en shit. Who cares? Dat java een browserplugin is, is alleem bijzaak. Java leeft van enterprise applicaties. Daar is het gewoon erg goed in. Daarnaast zijn het vaak ook een berg vooroordelen, en zelden een goed onderbouwde mening. Java kan meer dan snel zat zijn voor vrijwel iedere toepassing (let wel, vrijwel iedere!)
"Zowel Windows- als Unix/Linux-systemen zijn gevoelig voor de kwetsbaarheden"
net zo "safe" als alle andere systemen/browsers ditmaal....als je de Sun VM gebruikt
net zo "safe" als alle andere systemen/browsers ditmaal....als je de Sun VM gebruikt
Nee niet echt, heel veel mensen gebruiken namelijk ook de Sun java implementatie met IE. (is voor sommige sites zelfs vereist)
Nee. Waarom zou iets waterdicht zijn omdat één lek niet van toepassing is?Voor één keer zit je dus 'voorlopig/redelijk" safe met IE ?
ja dat is slim... Microsoft VM die al jaren niet meer wordt onderhouden.
Ja met de computer komt op website met Applet erop. Jan wordt geadviseerd toch maar ff de Sun JVM erop te knallen omdat ie anders de page niet kan bekijken.... dus dat doet Jan... en klaar is Jan
@sethchaos: Welke bank presteert het nu dan (nog) om met Applets hun telebankieren te regelen? Dacht dat alle banken inmiddels wel door hadden dat applets irritant zijn. Gelukkig doet de Rabo alles in plain-old-https (zoals het hoort).
@jvo: thanx voor de info. Onterechte dubbelpost maar daar kan ik ff niks aan doen....
@sethchaos: Welke bank presteert het nu dan (nog) om met Applets hun telebankieren te regelen? Dacht dat alle banken inmiddels wel door hadden dat applets irritant zijn. Gelukkig doet de Rabo alles in plain-old-https (zoals het hoort).
@jvo: thanx voor de info. Onterechte dubbelpost maar daar kan ik ff niks aan doen....
:strip_exif()/u/33201/yoshi_ie_ff_small.gif?f=community){kind=small}
De postbank gebruikt java volgens mij
:strip_icc():strip_exif()/u/55461/88047.jpg?f=community){kind=small}
Doen ze nu niet ActiveX? Of ook niet meer?
ActiveX word ook gebruikt. Zodra je de transactie wilt doen word het bedrag overgezet vanuit java naar ActiveX. Vanuit daar stroomt je geld dan vanzelf weg 
/u/2305/crop653618cca8542_cropped.png?f=community){kind=small}
Inmiddels niet meer. Paar maanden terug zijn ze eraf gestapt.
Moet je eens proberen te telebankieren zonder java.
/u/7928/ava-misc-dp0.png?f=community){kind=small}
Geen probleem bij de Friesland Bank.
Davilex Bank werkt hier zonder problemen.
Davilex Bank werkt hier zonder problemen.
De Windows versie is alleen sneller omdat hij minder uitgebreid is.
Verder is de SUN versie een knap stukje code, omdat het onder Linux & Windows draait, en het zodoende erg crossplatform is. Firefox + SUN's java kan ik onder Linux & Windows gebruiken, waardoor dezelfde applets etc werken als onder Windows.
Ook werken programma's als JAlbum (Foto Album software), BlueJ & IHMC CMap Tools onder Windows & Linux. Dankzij Java kan ik voor een groot deel van mijn schoolwerk gewoon Linux gebruiken.
Verder moet ik voor school ook veel programeren in Java, ik ben het met je eens dat het af en toe wat traag is, maar vanuit portability gezien is het een ontzettend goede taal. Het is erg jammer dat er nu zulke grote fouten in blijken te zitten, maar ze hebben het wel over een verouderde versie (ookal word deze versie nog veel gebruikt)
Verder is de SUN versie een knap stukje code, omdat het onder Linux & Windows draait, en het zodoende erg crossplatform is. Firefox + SUN's java kan ik onder Linux & Windows gebruiken, waardoor dezelfde applets etc werken als onder Windows.
Ook werken programma's als JAlbum (Foto Album software), BlueJ & IHMC CMap Tools onder Windows & Linux. Dankzij Java kan ik voor een groot deel van mijn schoolwerk gewoon Linux gebruiken.
Verder moet ik voor school ook veel programeren in Java, ik ben het met je eens dat het af en toe wat traag is, maar vanuit portability gezien is het een ontzettend goede taal. Het is erg jammer dat er nu zulke grote fouten in blijken te zitten, maar ze hebben het wel over een verouderde versie (ookal word deze versie nog veel gebruikt)
Traagheid is idd iets waar java last van heeft, het draait dan ook op een hoger niveau. Maar het is me enorm opgevallen dat traagheid meestal niet de schuld van de taal zelf is maar de manier waarop ge ze gebruikt.
Deze fouten in java zijn trouwens idd te betreuren maar bij mijn weten is er toch ook een klein programmatje dat automatisch nieuwe updates wilt binnehale (indien je dit wenst)
Deze fouten in java zijn trouwens idd te betreuren maar bij mijn weten is er toch ook een klein programmatje dat automatisch nieuwe updates wilt binnehale (indien je dit wenst)
:strip_exif()/u/18855/mahrain.gif?f=community){kind=small}
Opvallend dat Mac OS X niet genoemd wordt, hiervan beheert Apple zelf de java code, www.apple.com/java . Wanneer het puur om versienummers gaat zou deze bug er dus 13/09/2005 uitgehaald zijn omdat toen de OSX Java versie naar de nieuwste versies gehaald werd.
"Zowel Windows- als Unix/Linux-systemen zijn gevoelig voor de kwetsbaarheden"
Geweldig geformuleerd. Maar ik denk dat je erbij moet bedenken welk effect de kwetsbaarheid kan hebben... Dat staat er niet bij vermeld.
"is de ontwikkeling voor gebruikers van alternatieve besturingssystemen en browsers enigzins zorgelijk; deze groep blijkt niet onkwetsbaar voor kwaadaardige hack-aanvallen."
Dat waren ze (we) nooit, zullen we ook nooit zijn ook. Volgens mij heeft ook niemand dat ooit gedacht... (okey, Bill misschien op een blauwe maandag)
Geweldig geformuleerd. Maar ik denk dat je erbij moet bedenken welk effect de kwetsbaarheid kan hebben... Dat staat er niet bij vermeld.
"is de ontwikkeling voor gebruikers van alternatieve besturingssystemen en browsers enigzins zorgelijk; deze groep blijkt niet onkwetsbaar voor kwaadaardige hack-aanvallen."
Dat waren ze (we) nooit, zullen we ook nooit zijn ook. Volgens mij heeft ook niemand dat ooit gedacht... (okey, Bill misschien op een blauwe maandag)
idd, ik denk niet dat veel mensen die iets anders dan windows gebruiken denken dat ze onkwetsbaar zijn, de kans dat ze wat overkomt is echter verwaarloosbaar klein by design..
Heb er soms ook last van altijd als ik scan komt er iets van java applet bla bla zwaar irri 
... maar heb tog lekker een router firwall2x (A)
... maar heb tog lekker een router firwall2x (A)
Had eergisteren mijn virusscanner vergeten terug op te zetten na het gamen. Toen ik hem terug opzette had ik 20-tal waarschuwingen in Sun Java folder...
Op dit item kan niet meer gereageerd worden.