Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: PC World

Googles Security Team heeft twee zeer ernstige veiligheidsfouten gevonden in de Java Runtime Environment van Sun. Beide bugs zijn reeds gefixt en volgens Sun zijn er geen exploits ontwikkeld door kwaadwillenden.

Java logoBeide fouten waren al in oktober 2006 door Google-onderzoeker Chris Evans ontdekt en aan Sun doorgegeven. Op 15 mei maakte hij informatie over de lekken wereldkundig. De eerste door Evans ontdekte fout bestaat uit een integer overflow die kan optreden wanneer icc-data uit jpeg-afbeeldingen worden ingelezen. De tweede bug treedt op als een speciaal aangepast bmp-bestand lokaal wordt ingelezen. Beide veiligheidsfouten zijn terug te vinden in Java-versies 1.3, 1.4, 5 en 6. De eerste bug is aanwezig onder alle besturingssystemen, de tweede alleen onder Linux en Unix. De oplossing voor beide fouten is terug te vinden in Update 1 voor Java SE 6. Aangeraden wordt echter om te updaten naar Update 2 voor dezelfde Java-release, aangezien daarin ook een fix is terug te vinden om misbruik van het Java Network Launching Protocol tegen te gaan.

Moderatie-faq Wijzig weergave

Reacties (18)

Tjah, het eerste is alleen een probleem als je jpeg uploads toestaat middels Java en het tweede is alleen een probleem als je lokaal mensen bmp's laat gebruiken. Als 1 promille van alle Java installaties kwetsbaar is, is het veel.
De bugs werden gemeld aan Sun in Oktober 2006 en gefixed in Java SE 6 Update 1 die al beschikbaar is sinds Maart 2007. Dat is dus minder dan een half jaar ;)
Dus alle heisa was voor bugs die al gepatcht zijn, en die voor de mensen die de Java-updater hebben draaien (standaard) allang geen probleem meer vormde? Het werd in het nieuws gebracht alsof het het einde van de wereld was :/
en die voor de mensen die de Java-updater hebben draaien (standaard)
Hoezo standaard?
Als je java hebt, is de automatische updater er ook bij, en die checkt om de zoveel dagen ofdat er updates zijn (op de achtergrond) :)
Onder Windows zoo mooi geregeld ;). Bijna iedere driver/programma (java, nvidia, itunes, etc.) installeerd zijn eigen updater, waardoor je na verloop van tijd een oerwoud aan updaters hebt draaien.
Onder linux werkt dat toch heel anders hoor ;)
daar hebben de populaire linux distro's hun eigen updaters. bv ubuntu en debian met apt-get upgrade
$ apt-cache show cron-apt

Description: automatic update of packages using apt-get
Contains a tool that is run by a cron job at regular intervals. By default it just updates the package list and download new packages without installing. You can instruct it to run anything that you can do with apt-get (or aptitude).

Tijden veranderen. ;) (Nouja, als je goed leest zie je dat packages nog niet echt geupdate worden, maar dat kun je met een kleine aanpassing wel regelen. Overigens gebruik ik cron-apt niet, ik kijk liever even mee wat er geupdate wordt.)

[Reactie gewijzigd door Bergen op 14 juli 2007 22:58]

Mee eens, Fedora wil heden ten dage ook automatisch updaten, als eerste uitgezet dus :+ Ik kijk liever zelf ook mee :O
Ubuntu laat bij mij ala windows gewoon om de zoveel tijd zien "Updates are available for your computer" (ofzoiets)

En als je dan klikt en je root pass invoert krijg je een lijst te zien en kan je updaten...
Het kan in ieder geval geen kwaad het even te controleren via http://www.javatester.org/version.html. Ik had dus nog een kwetsbare versie 1.5.0_06. Had beter de java scheduler niet kunnen uitschakelen als startup-programma blijkbaar... :X
De Secunia Software Inspector is ook een goedje :)
http://secunia.com/software_inspector/

Ik had nog enkele oude java versies staan op mijn pc
Vziw staat het standaard aan, tenzij je het zelf uitschakelt.
het gevaar van afbeeldingen. de psp kon je een tijd geleden ookal downgraiden door een speciale afbeelding te openen (ook buffer overflow)

[Reactie gewijzigd door Splorky op 14 juli 2007 22:29]

Beetje knullig dat mensen van een ander bedrijf fouten moeten ontdekken in jou software.
Verder goede zaak natuurlijk dat dit op tijd aan het licht kwam.
Beetje knullig dat mensen van een ander bedrijf fouten moeten ontdekken in jou software.
Waarom is dat knullig? Je kan dan nog zoveel tests schrijven voor je eigen geschreven software, als maker zit je er te dicht op.

Bugs worden maar al te vaak eerst ondervonden door diegenen die je software echt gaan gebruiken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True