Microsoft: enorme toename aan malware-aanvallen via Java

Microsofts Malware Protection Center stelt dat een 'ongekend aantal' malware-aanvallen misbruik van kwetsbaarheden in Oracles Java maakt. Dergelijke aanvallen zou bovendien steeds vaker voorkomen.

Volgens Microsoft lag het aantal gedetecteerde malware-aanvallen dat bugs in Java gebruikt, in het eerste kwartaal van 2010 nog op minder dan een half miljoen. In het derde kwartaal van dit jaar probeerde malware ruim 6 miljoen keer om Java-exploits te benutten. Ook signaleert de softwarefabrikant dat de meeste malware gebruik maakt van drie bugs die al enige tijd bekend zijn en bovendien door Oracle zijn gepatcht.

De groei in aanvallen van malware die zich op Java-exploits richt, zou op een aantal manieren te verklaren zijn. Zo updaten vermoedelijk relatief weinig gebruikers hun Java Runtime Environment-bestanden regelmatig, waardoor systemen kwetsbaar blijven. Daarnaast zouden de fabrikanten van intrusion detection-systemen leiden aan 'Java-blindheid', omdat het correct interpreteren van Java-code relatief ingewikkeld zou zijn. Bovendien zou het veel rekenkracht vergen, waardoor deze veiligheidsbarrières te traag zouden worden.

Java-aanvallen 2009-2010

IT-banen

Reacties (106)

matthijsbos 19 oktober 2010 16:31

Waarom zitten dit soort dingen niet gewoon inbegrepen in windows update? Als alles nu in één systeem was geintegreerd zou het een hoop schelen. Met één druk op de knop je windows updates, java updates, adobe updates, virus definitions etc...

Niemand_Anders @matthijsbos • 19 oktober 2010 17:03

Tot 2000 werd met Windows je MS JRE meegeleverd, maar na een aantal rechtszaken omdat Microsoft en aantal voor Windows geoptimaliseerde extensies toevoegde, mocht Windows Java niet meer standaard meeleveren.

Vanaf Windows XP (mogelijk al ME) dienen gebruikers zelf de JRE te downloaden en installeren vanaf de Sun (nu Oracle) website.

Nadat in 2001 bekend was geworden dat Microsoft aan het onderzoeken was om ook 3rd party software updates via Windows Update te verspreiden hebben verschillende overheden waaronder de EC aangekondigd te onderzoeken of Microsoft hiermee niet een te groot marktaandeel op de update installatie markt zou krijgen. Daarna is het idee in de prullenbak beland want Microsoft wil geen nieuwe onderzoeken vanwege vermeend monopolie misbruik want die kosten handen vol geld.

Toen Vista SP1 in ontwikkeling was gaf Microsoft aan dat 3rd party software voortaan niet meer op kernel niveau konden gaan draaien om rootkits onmogelijk te maken. Voor anti-virus programma's zou er een common security API komen. Meteen stonden de anti-virus bedrijven op hun achterste poten en werden er rechtszaken aangekondigd..

Microsoft heeft in het verleden verschillende pogingen ondernomen om het aantal virussen en exploits onder Windows te verminderen, maar Microsoft heeft inmiddels geleerd dat het de minste kritiek krijgt als het gewoon niets doet..

kimborntobewild @Niemand_Anders • 19 oktober 2010 20:11

"Microsoft heeft inmiddels geleerd dat het de minste kritiek krijgt als het gewoon niets doet."
Als iemand zich niks van zo'n gedachte zou aantrekken, dan is het MS wel. Je conclusie klopt in elk geval niet.

wildhagen

Malware
Privacy

@matthijsbos • 19 oktober 2010 16:59

Omdat als Microsoft dat doet er meteen tig andere bedrijven, zoals bijvoorbeeld Secunia die met CSI/PSI ook een dergelijke update-tool heeft, een klacht tegen ze indienen bij de EU wegens concurrentie-vervalsing.

Daarnaast heeft Microsoft natuurlijk geen controle over de code van andere bedrijven, waardoor ze niet kunnen valideren of de update wel betrouwbaar is. En áls het dan fout gaat met een update van een 3rd party-pakket klagen ze natuurlijk wel bij Microsoft, "want de update komt immers via Microsoft!". Een stukje indekken tegen juridische claims dus.

maceddy2004 19 oktober 2010 16:28

Probleem met Java is dat de ene applicatie versie 1.5.0b_21 nodig heeft en een andere applicatie weer 1.6.0b_15 of iets dergelijks....

Auto-update zou dus (hier althans) geen optie zijn...
Blijf de JAVA update ook uitzetten maar komt iedere keer terug......

tweakerbee @maceddy2004 • 19 oktober 2010 17:13

Dat ligt echt aan de developer die dan niet de standaard API gebruik, maar bijvoorbeeld stiekem private packages uit de JRE. De vuistregel is dat als je com.sun.* packages gebruikt, dat je verkeerd bezig bent.

Iets subtieler kan het ook zijn wanneer je toevallig gebruik maakt van een bug in de JRE. Een versie later wordt deze bug opgelost, en je applicatie werkt niet meer.

Normaal gesproken wordt in de .class file echter ook de benodigde versie van de JRE opgeslagen, en is alles backwards compatible. Als de applicatie niet werkt met nieuwere of oudere versies van de JRE dan moet je een bugrapport insturen bij de ontwikkelaar!

Verwijderd @tweakerbee • 19 oktober 2010 17:29

Backwards compatible: Unsupported major.minor version 49.0

Misschien ervaring mee ?

jj71 @Verwijderd • 20 oktober 2010 09:30

Die fout betekent dat je een Java programma geschreven met een nieuwere versie van Java probeert te draaien op een oudere versie. Dat werkt niet en niemand van Sun of Oracle heeft ooit beweerd dat dat zou moeten werken. Het is ook niet logisch om te verwachten dat dat zou moeten werken, want eventuele nieuwe features in een nieuwere versie zijn ook gewoon niet aanwezig in de oudere versie.

Met "backwards compatible" wordt precies het omgekeerde bedoeld: software geschreven en gecompileerd met oudere versies werkt zonder aanpassingen op nieuwere versies.

[Reactie gewijzigd door jj71 op 22 juli 2024 15:41]

Erycius 19 oktober 2010 16:14

Gevalletje "Wij van de concurrentie van WC eend adviseren vooral geen WC eend te gebruiken"?

LOTG @Erycius • 19 oktober 2010 16:17

Dat vind ik nogal mee vallen. Ze melden er netjes bij dat WC eend het probleem al verholpen heeft maar dat de klant er niets mee doet.

Verwijderd @LOTG • 19 oktober 2010 16:32

Ze melden er netjes bij dat WC eend het probleem al verholpen heeft maar dat de klant er niets mee doet.

Tja... vind je 't raar?

Zie reactie van Kawaii boven je:

Een van de weinige software pakketten waarvan ik de auto-update niet echt geweldig vind

Zelf zet ik jusched e.d. ook uit... keer op keer op keer want 't blijft op één of andere manier maar terugkomen.. samen met JQS die in een maand een paar TB aan gegevens loopt te cachen (dat veel van die I/O dan in die RAM cache zelf zit, i.p.v. daadwerkelijk inlezen van media, doet er niet aan af dat 't ding het grootste deel van de tijd lekker nutteloos bezig is).

Onlangs heb ik JAVA maar helemaal van de computers van de familie geschopt. Vroeger was het nog wel eens nodig voor de één of andere site.. tegenwoordig gelukkig bijna niet meer. (hangt van gebruik e.d. af, natuurlijk... veel sites die wiskundige principes demonstreren willen nog wel eens een JAVA applet gebruiken.

Dat gezegd hebbende denk ik ook dat Microsoft een mooie kans voor klant-gerichtheid laat liggen door naast Windows Update niet ook een aparte update service te draaien waar derden zich bij kunnen aanmelden. Met de tooltjes van CNet, FileHippo en (in mindere mate - meer voor eerste setup bedoeld) Windows Updates Downloader kom je wel een eind.. maar die zitten niet in je OS ingebakken en moet je dus eerst weten dat ze bestaan om ze vervolgens nog te downloaden en installeren.

Dan kunnen veel van die derden ook de 'check for updates' functionaliteit uit hun eigen programma's slopen en dit soort dingen centraal geregeld worden voor de gebruiker i.p.v. de wirwar van 'Check for updates' uit menu Tool danwel Help danwel een vinkje ergens in een dialoogje of een vinkje dat je ooit in een ver verleden hebt gebruikt bij het installeren.

alt-92 @Verwijderd • 19 oktober 2010 19:56

Dat gezegd hebbende denk ik ook dat Microsoft een mooie kans voor klant-gerichtheid laat liggen door naast Windows Update niet ook een aparte update service te draaien waar derden zich bij kunnen aanmelden.

En wie bepaalt welke software op welk moment en met welke voorwaarden wordt voorzien van updates, en onder welke garanties en aansprakelijkheden?

Nou?

mie9iel @alt-92 • 19 oktober 2010 21:36

De uitgever natuurlijk.

Adobe is b.v. verantwoordelijk voor de updates voor flash, acrobat reader, CS (en onderdelen), etc.

De tool zo als ZeBoxxToo het (volgens mij) bedoelt is gewoon een centraal doorgeefluik voor updates van 3den. Lijkt me (vooral voor niet-tweakers) een stuk handiger dan een heel rijtje programma's dat elk voor zich gaat kijken of er ook updates zijn, of 'update' knopjes waarmee je van tijd tot tijd zelf handmatig een update check moet doen.

Pendaco @mie9iel • 19 oktober 2010 22:43

De gebruiker ziet alleen Windows Update, dus 3 keer raden wie de zwarte piet krijgt wanneer een 3rd party update de zaak verkloot. Ik snap wel dat Microsoft haar vingers daar niet aan wilt branden.

Verwijderd @Pendaco • 20 oktober 2010 14:48

Daarom zei ik ook een aparte tool. Overigens doet Windows Update al wel gedeeltelijk aan third party updates - voor drivers, bijvoorbeeld.

kozue @mie9iel • 20 oktober 2010 03:11

En hoe weet zo'n systeem dat de updates voor Adobe software echt van Adobe komen? Misschien doet Adobe wel niks met het systeem en is het een 3rd party die het bijhoudt of een black hat hacker die virussen upload.
Toch denk ik dat zo'n systeem best kan werken, als er niet zomaar geupload kan worden, maar bv op de manier waarop package managers onder Linux geupdate worden: het aanstellen van "maintainers" door de eigenaar van het package systeem (in dat geval MS dus).

thegve @alt-92 • 19 oktober 2010 22:38

Gewoon zoals het nu ook al gaat. Privegebruikers kunnen ofwel op 'updates installeren' klikken, ofwel 1 voor 1 updates kiezen uit een lijstje. Zakelijke gebruikers kunnen dit regelen via een wsus server. Voor Oracle/Adobe echt niet zo veel moeite om de benodigde informatie en packages netjes bij Microsoft aan te leveren, samen met een paar medewerkers om mee te testen en oneffenheden weg te werken.

daft_dutch @alt-92 • 19 oktober 2010 23:39

En wie bepaalt welke software op welk moment en met welke voorwaarden wordt voorzien van updates, en onder welke garanties en aansprakelijkheden?

Dat is toch al jaren bekend in de linux wereld. En de garanties van elk pakket zijn altijd bekend. btw Security Updates zijn iets anders dan nieuwe versies van de software.

Maar Helaas is updaten van files er lastig onder windows. Ik denk niet dat MS zijn hand daar aan wilt branden.

[Reactie gewijzigd door daft_dutch op 22 juli 2024 15:41]

mbb @Verwijderd • 20 oktober 2010 03:27

Jammer ook dat de Meuktracker geen APi heeft voor die tooltjes.

BTW, dat JAVA memory ding valt in de opties uit te zetten. (ooit een keer gedaan voor een oude PC met weinig ram)

En inderdaad die updater vaak uitgezet, maar datzelfde geld voor Google, Adobe, Quicktime etc. updaters, ze willen allemaal met je PC mee opstarten.

Kawaii @Erycius • 19 oktober 2010 16:16

Er staat toch nergens dat ze een MS product aanraden? Er staat alleen dat MS signaleert dat er relatief veel malware aanvallen plaatsvinden via JAVA.
Het is een blogpost van MS, die in gaat op waarom/hoe er opeens zoveel aanvallen via JAVA plaatsvinden. Nergens wordt ook maar een MS product genoemd.

Zelf kwam ik er achter dat mijn JAVA runtime ook al enige tijd niet meer up-gedate was. Een van de weinige software pakketten waarvan ik de auto-update niet echt geweldig vind (al kan het ook best aan mijn configuratie liggen.)

[Reactie gewijzigd door Kawaii op 22 juli 2024 15:41]

arjankoole @Kawaii • 19 oktober 2010 16:34

Het is een blogpost van MS

Blogposts van MS staan vrijwel zonder uitzondering bol van de FUD. Ik heb in het verleden die blogs scherp in de gaten gehouden, en het kwam op 1 ding neer: marketing. (of the dirty variety).

Het is ook niet verwonderlijk dat MS voor beide producten een eigen alternatief heeft. Enerzijds is dat .NET, anderzijds is dat XPS. (of hoe 't mag heten). Prima dat ze dat hebben, maar het riekt smerig. Indirect is dit gewoon reclame voor hun eigen meuk. (niet dat dat nodig is, ik denk dat het merendeel van het publiek van de technet blogs sowieso microsoft adepten zijn)

cyspoz @arjankoole • 19 oktober 2010 16:55

Dat geld niet voor deze, Microsoft doet veel onderzoek naar de veiligheid van internet. Dat doen ze ongetwijfeld voor eigen gewin, maar ze nemen ook regelmatig de moeite om feitelijke rapporten samen te stellen met statistische gegevens en deze te delen met de wereld. (Microsoft Security Intelligence Report volume 9).

Verwijderd @arjankoole • 19 oktober 2010 22:44

Wat een onzin. Ik lees regelmatig MSDN blogs, en degenen die dat schrijven zijn geen marketing mensen, maar developers en developers hebben over het algemeen de gewoonte vrij kritisch te zijn over zichzelf. En bovendien zijn het gewoon mensen. Neem bijvoorbeeld de blog van Scott Guthrie (http://weblogs.asp.net/scottgu/), een hoge man bij Microsoft, maar wel iemand die laatst veel aandacht heeft gegeven aan een recente ASP.NET exploit. Zou je dat zien als het puur marketing was?

Interessante MS werknemer blogs:

http://haacked.com/
http://blogs.msdn.com/b/shawnhar/
http://blogs.msdn.com/ericlippert/default.aspx
http://blogs.msdn.com/b/ricom/

Verwijderd @arjankoole • 19 oktober 2010 17:03

Jij hebt juist niets.

Er schrijft gewoon iemand over de cijfers die hij ziet en een verklaring + vraag naar aandacht om te updaten. Hij klaagt zelfs niet over Java en geeft juist aan dat Oracle al lang updates voor deze bugs beschikbaar heeft.
Enig eigen product waarover hij spreekt is Microsoft Security Essentials. Een gratis pakket (met goede scores) dat iedereen zou moeten installeren als ze nu nog niet beveiligd zijn.

RobZw @Verwijderd • 19 oktober 2010 18:57

Er schrijft gewoon iemand over de cijfers die hij ziet
Dit is niet een 'iemand'.
Het betreft een extreem rijke en machtige rechtspersoon.

Met dit soort misverstanden ga je de strijd om de markt verliezen - ofwel je zelfstandigheid in het geval van een consument

Dreamvoid

Malware

@arjankoole • 19 oktober 2010 16:57

Blogposts van MS staan vrijwel zonder uitzondering bol van de FUD. Ik heb in het verleden die blogs scherp in de gaten gehouden, en het kwam op 1 ding neer: marketing. (of the dirty variety).

Ooit eens op de Linux en Mac blogs gekeken?

rob12424 @Dreamvoid • 19 oktober 2010 20:18

Heb je een punt. Maar nu je het er toch over hebt. Zijn Unix (ook mac os) en Linux hier ook vatbaar voor omdat ze java draaien?

Ik wilde pas een game spelen via msn toen i kerachter kwam dat ik activate x moest instaleren ben ik afgehaakt (is dat nog steeds zo onveilig?)

AndrewF @Dreamvoid • 19 oktober 2010 20:51

Inderdaad. Het zijn nu eenmaal gepassioneerde gebruikers die bloggen. En omdat ze zo gepassioneerd zijn door hun OS, zullen ze de andere OS'en vaak ondermijnen. Logisch natuurlijk..

kozue @Dreamvoid • 20 oktober 2010 03:06

Ja, dat klopt, Linux en Mac aanhangers zijn net zo fanatiek, maar daarom hoeven we de meuk die zowel de MS bloggers als de *nix bloggers het internet op gooien niet meteen als waarheid of "nieuws" aan te nemen. Als ik op internet kwak dat ik Windows niks vind, kom je ook niet ineens een nieuwsartikel tegen op tweakers.net getiteld "kozue's blog: Windows is niks!".
En net zo vind ik deze FUD van MS niet passen op een site die zich neutraal op hoort te stellen. .Net zit net zo vol met lekken, waarschijnlijk nog wel meer (het blijft een MS product), maar java zwartmaken is blijkbaar nieuws tegenwoordig?

SKiLLa @Kawaii • 19 oktober 2010 16:33

Volgens mij komt dit door de "opkomst" (en publiekelijk beschikbaarheid van de betreffende viruskits) van de multi-exploit virussen op HTML pagina's en b.v. de vele gehackte banner-netwerken (ter distributie) dit jaar.

Op de redirect pagina's worden dan series Windows, Java en ActiveX (onder andere veel Adobe) exploits getest in de hoop 1 lek te vinden. An sich niets nieuws, maar eenmaal geinfecteerd worden ook weer FTP wachtwoorden gestolen (middels lokale netwerkverkeer-sniffing) om andere sites te infecteren en op die manier kan het snel gaan ...

Mikke8 @SKiLLa • 19 oktober 2010 18:02

Als je op enkele websites kijkt zoals securityfocus.com,
zie je ook veel bugs in JVM..
Ik denk dat er vroeger in het begin stadium van het ontwikkelen hiervan niet echt veel rekening is gehouden met security..

Benjamin- @Erycius • 19 oktober 2010 21:19

Behalve dat ze in dit geval wel correct zijn. Ik heb dan ook bij mij Java van al mijn PC's heb verwijderd, teveel rotzooi krijg ik daar via binnen.

MaZeS 19 oktober 2010 16:15

Het is inderdaad wel vaak 1 van de dingen die ik vaak nog in de taakbalk zie staan als ik op een "vreemde" computer aan de slag moet: Het java update icoontje.

[Reactie gewijzigd door MaZeS op 22 juli 2024 15:41]

®androiid @MaZeS • 19 oktober 2010 16:17

klopt, heb ik hier op stage ook bij 90% van de pc's die ik herstel.

Ik gok ook dat er daarom zoveel malware-aanvallen komen via java, juist omdat mensen dit vaak niet updaten

84hannes @®androiid • 19 oktober 2010 16:20

Je bedoelt dat icoontje naast het Flash Update symbooltje, valk bij het Windows Update Symbooltje en het Anti-Virus definitiets update symbooltje? Vind je het raar dat mensen dit soort icoontjes negeren?

Hoeveel jaar gaat Windows het nog redden zonder fatsoenlijk package managment?

Als Linux gebruiker zou ik daar ook blij mee zijn, misschien dat die verdoemde cross-platform for windows ontwikkelaars dan inzien dat Linux gebruikers behoefte noch begrip hebben voor absurd grote installaties die, bijvoorbeeld, hun eigen java Engine meeleveren.

@Rizon
Dat probleem bestaat onder Linux ook, maar door klanten zelf te laten kiezen of ze repository vertrouwen leg je de verantwoordelijkheid daar. Dat is weinig anders dan een gebruiker een executable (lees: installer) te laten starten, behalve dat je veel minder repositories nodig hebt dan programma's. Flash en Adobe Reader kunnen bijvoorbeeld indezelfde repo gepropt worden. VirtualBox en Java ook, etc. Microsoft is dan alleen verantwoordelijk voor zijn eigen repo.

@Gert, point taken.

@Cloud
Ja, ik overdrijf. Windows Date Up zonder de gebruiker expliciet lastig te vallen en niet elk programma gebruikt een icoontje, sommige gebruiken een balonnetje of een pop-up. Maakt dat het verhaal heel anders? Conclusie blijft dat gebruikers het graag allemaal wegklikken voor "later". Als je slechts 1 update programma hebt snappen ze beter wat het doet. En dat programma hoeft echt niet alleen een keer per maand op een dinsdag te werken.

[Reactie gewijzigd door 84hannes op 22 juli 2024 15:41]

Gert @84hannes • 19 oktober 2010 16:28

Moet je eens een paar enterprise paketten op je Linux PC installeren, zit gewoon netjes steeds weer een java runtime mapje bij hoor.

Zer0 @Gert • 19 oktober 2010 17:00

De ontwikkelaars moeten wel, door dat "fijne" pakketbeheer van veel distributies is het onduidelijk welke versies van de JRE er op machines staan. Er wordt dus een JRE meegeleverd waarvan men weet dat hij goed werkt met de applicatie.

kozue @Zer0 • 20 oktober 2010 03:15

En wat maakt het uit welke JRE er op staat? Ze implementeren toch allemaal dezelfde Java API? Of zijn die "fijne" enterprise pakketten zo slecht geschreven dat ze niet kunnen draaien op iets anders dan de meegeleverde JRE? Waarschijnlijk zijn het Windows developers geweest die dat pakket hebben geschreven...

YaPP @kozue • 20 oktober 2010 09:42

PyCharm, Eclipse, e.d. klagen allemaal als ze op de OpenJDK draaien i.p.v. de Sun JRE. Reden: de API is misschien hetzelfde, de performance echter totaal niet.

Linux package management is erg prettig werken (zeker voor servers), maar zeker niet perfect (voor desktops). Een installer kan nog niet makkelijk universeel aan het systeem vragen om een bepaald pakket te installeren. (packagekit is een stap in de goede richting)

[Reactie gewijzigd door YaPP op 22 juli 2024 15:41]

Antipater @Zer0 • 19 oktober 2010 18:19

Of je specificeert de afhankelijkheid in je enterprise pakketje, het heet niet voor niets package management.

tuXzero @Zer0 • 19 oktober 2010 20:46

Als je de ontwikkelomgeving mee moet leveren voordat het werkt ben je waarschijnlijk Windows gewent. Dit is echter nadelig. In de meeste Linux distributies gebruik je afhankelijkheden die de package manager voor zijn rekening neemt.

Het hele idee achter package management is dat je up-to-date blijft. Als de update manager besloten heeft dat er een gat in mijn openssl implementatie zit. Dan wordt daar netjes een gepleisterde versie voor in de plaats gezet. Maar als een ontwikkelaar in alle wijsheid besloten heeft zelf een openssl implementatie mee te leveren dan zou hij daar zelf verantwoordelijk voor moeten zijn. Dit is, helaas, niet vaak het geval.

[Reactie gewijzigd door tuXzero op 22 juli 2024 15:41]

jvroosmalen @Gert • 19 oktober 2010 17:50

Dat gebeurd niet alleen op Linux hoor. Ik heb hier ook wat programma's op windows die leuk een eigen JRE bij leveren, zoals MATLAB en Mathematica.

Mooiste is nog dat the JAVA SDK een eigen runtime heeft.

Verwijderd @84hannes • 19 oktober 2010 16:39

Ms zou het dolgraag doen, net zoals al hun eigen producten en de meeste drivers al langs Windows update binnen komen.

Maar fabrikanten maken graag eigen installers en update platforms zodat ze vele opties en extra reclame kunnen tonen. En je kan van Ms niet verwachten dat ze hun servers inzetten om duizenden TB's aan updates van miljoenen programma's te hosten.
Extern hosten kan je weer moeilijker garanderen dat het veilige bestanden zijn en blijven.

Antipater @Verwijderd • 19 oktober 2010 18:23

Je hoeft het niet te hosten, hoeft ook niet onder linux. Je hoeft zelfs geen package mangement te implementeren, alleen een stel api's voor auto-update. Waar het spul vandaan komt kan je dan registreren bij installatie.

Als dat deftig geregeld is, ga ik ervanuit dat derden juist heel graag daarvan gebruik willen maken: dit komt een stuk vertrouwder over op de gebruiker dan de ad-hoc methodes die 9 van de 10 keer genegeerd worden.

kozue @Verwijderd • 20 oktober 2010 03:19

En je kan van Ms niet verwachten dat ze hun servers inzetten om duizenden TB's aan updates van miljoenen programma's te hosten.
Extern hosten kan je weer moeilijker garanderen dat het veilige bestanden zijn en blijven.

Onzin natuurlijk. Zo werkt het al jaren onder Linux. Waarom kan een Linux community het wel en een bedrijf met een miljardenbudget niet?

Cloud @84hannes • 19 oktober 2010 16:27

Je bedoelt dat icoontje naast het Flash Update symbooltje, valk bij het Windows Update Symbooltje en het Anti-Virus definitiets update symbooltje? Vind je het raar dat mensen dit soort icoontjes negeren?

Volgens mij overdrijf je nu behoorlijk.

Flash update geeft geen symbooltje maar een popup bij het opstarten, deze is dus niet over het hoofd te zien. Kwestie van twee clicks en de boel wordt geüpdate.
Windows update geeft ook een balloon popup vanuit de system tray en tegenwoordig worden updates ook bij het afsluiten van de pc automatisch geïnstalleerd.
En dan als laatste de antivirus definities. Ik weet niet wat voor antivirus pakket jij gebruikt, maar _alle_ pakketten die ik ken updaten volledig automatisch en zonder te vragen.

Packagemanagement zou aan het bovenstaande niets verbeteren.

edit:
@TheDarkstar

Hoe kan dat nu niet overdreven zijn, als wat hij zegt simpelweg onwaar is?

De voorbeelden die hij geeft kloppen gewoon niet.

Packagemanagement is leuk en je zou zoiets misschien via Windows Update kunnen gaan integreren, maar de situatie die hij beschrijft is al lang verleden tijd.

[Reactie gewijzigd door Cloud op 22 juli 2024 15:41]

PhilipsFan @Cloud • 19 oktober 2010 16:55

De ellende is alleen, dat bv die Flash updater ook gewone gebruikers lastig valt (die dus geen rechten hebben om te updaten, en dat ook beslist niet moeten krijgen). Veel softwaremakers gaan hier op verschillende manieren mee om. Een updater voor Java die permanent in het geheugen blijft, Google doet het zelfs als service.

Het zou inderdaad een stuk schelen als er een goed package management systeem bestond waarbij een achtergrond-user automatisch de boel up-to-date houdt.

cornedor @PhilipsFan • 19 oktober 2010 19:14

Of cloud computing, zul je een stuk minder last hebben van updates

TheDarkstar @Cloud • 19 oktober 2010 16:33

WAt 84hannes schrijft vind ik juist helemaal niet overdreven. Linux is veel gemmakelijker en gebruiksvriendelijker hierin. Maar zeker de beveiliging is hiermee altijd up-to-date.

Soldaatje @MaZeS • 19 oktober 2010 16:17

Ja, zou Java dat niet automatisch kunnen updaten?
Toch vervelend als een bijna onmisbaar geworden pakket zoveel gaten heeft, en waarvan je verwacht dat het gewoon waterdicht is.

Verwijderd @Soldaatje • 19 oktober 2010 16:59

Ja, zou Java dat niet automatisch kunnen updaten?

Doen ze ook.
Ik krijg heel regelmatig java update popups binnen

Maar oudere versies van java hebben dat niet of minder goed en veel mensen hebben de java updater ook uitgeschakeld.
Ik had er ook eens een buggy versie die elke dag probeerde java te updaten. Toen heb ik die ook maar een jaartje of zo uitgezet.

Tazzios @Verwijderd • 20 oktober 2010 09:54

Oudere java versies werden vroeger niet verwijdert bij een update.
Ik weet niet hoe het zit, als je nu de laatste download of dat dan de oudere versies dan wel verwijdert worden.

Verwijderd @MaZeS • 19 oktober 2010 16:57

Juist daarom gebruiik ik Noscript.

die vuile Java updater, bah

Wie ergert er zich niet aan? En dan de gigabytes aan 'temp files' door de jaren.. man man

Ik heb er nog nooit problemen mee gehad door deze niet te updaten.

Verwijderd 19 oktober 2010 17:15

Waarom kan MS dit niet oplossen door Java updates in Windows Update te gooien?

Apple doet dit reeds, om de zoveel tijd krijg ik automatisch bericht om Java te updaten via System Update op OS X

Relief2009 @Verwijderd • 19 oktober 2010 17:49

Omdat Microsoft dit niet meer mag doen door een rechtszaak. Tja je kunt ze niet blamen.

jj71 @Relief2009 • 20 oktober 2010 09:46

Dit is onzin, een geval van de klok horen luiden maar niet weten waar de klepel hangt.

Microsoft had ooit, lang geleden (voordat .NET er was), hun eigen implementatie van Java. Ze probeerden hierin dingen te veranderen om het Windows-specifiek te maken. Dat vond Sun niet leuk en heeft ze met succes voor de rechter gesleept. Microsoft heeft hun eigen Java toen helemaal opgegeven en is later met hun eigen alternatief gekomen: .NET.

Die rechtszaak heeft dus helemaal niets te maken met dat ze Java niet via Windows Update zouden kunnen updaten. Windows Update werkt alleen maar voor software van Microsoft zelf. Geen enkel programma van een andere partij wordt via Windows Update geüpdatet.

Je zou MS dus wel kunnen "blamen" voor het feit dat er geen algemeen update mechanisme in Windows zit voor alle software, waardoor iedere fabrikant zijn eigen manier heeft bedacht om software up-to-date te houden.

Ik ben het er overigens wel mee eens dat de manier waarop Sun / Oracle Java updates aanbieden niet handig is voor eindgebruikers. De gemiddelde ome Joop gaat niet op allerlei vage update-icoontjes in de taakbalk klikken - want de gemiddelde ome Joop weet niet eens wat Java is en zelfs dat het op z'n computer staat.

[Reactie gewijzigd door jj71 op 22 juli 2024 15:41]

Robtimus @Verwijderd • 19 oktober 2010 17:33

Omdat Apple een eigen JVM heeft, en MS zou 3rd party software moeten gaan supporten via WU. Lees de andere posts maar door waarom dat niet wenselijk is.

DaWaN 19 oktober 2010 16:21

Het probleem met Java is de slechte update service.
Iedere keer als Java een update installeert dan installeert hij gewoon een nieuwe versie erbij

De updater moet gewoon stilletjes zijn werk doen en de runtime binaries patchen zonder enige interactie met de gebruiker...
How hard can it be ?

qless @DaWaN • 19 oktober 2010 16:24

Das niet meer waar, sinds een paar maanden overschijft de 1.6 updates andere 1.6 updates

r.elu @DaWaN • 19 oktober 2010 16:25

Klopt en daarnaast werken veel oudere java applets niet meer met de meest recente versie. Dit is de reden dat ik hier nog met een oude versie zit en ook al zo'n 5 maal met heel snel klikwerk (alles killen in download proces) en een virusscanner erger heb kunnen voorkomen :x

Lg102 19 oktober 2010 16:16

Zo updaten vermoedelijk relatief weinig gebruikers hun Java Runtime Environment-bestanden regelmatig, waardoor systemen kwetsbaar blijven.

Ik moet zeggen dat ik me dat kan voorstellen. Het updatesysteem is heel omslachtig en vereist veel te veel aandacht. En waarom zijn die updates - relatief - zo groot?

killerdemon @Lg102 • 19 oktober 2010 20:14

Update systeem?

Wat ik me van java updates kan herinneren is dat het iedere nieuwe versie er gewoon naast installeerde.

(en je de oudere zelf moest deinstalleren bij add/remove)

Pendaco @killerdemon • 19 oktober 2010 22:52

Dat was in het verleden idd zo, wat een drama was dat..

Maar sinds 1.6 wordt de handel wel netjes geupdate.

Diezelfde onzin is trouwens nog steeds bij .NET aan de gang, al die idioot grote versies naast elkaar..

calvinturbo @Lg102 • 19 oktober 2010 16:18

Ja, ze moeten gewoon een automatisch updatesysteem inbouwen

Cloud @calvinturbo • 19 oktober 2010 16:29

Die is er wel, maar het gros van de gebruikers heeft geen idee wat het is. Flash, kennen ze vaag van naam, Windows Update klinkt ook belangrijk, maar Java?

Wat mij betreft gaan ze de JRE updates via Windows Update meenemen. Dat zou dit probleem voor het gros van de mensen oplossen.

MClaeys @calvinturbo • 19 oktober 2010 16:35

en dan krijg je toestanden dat ook slechte updates de client bereiken. Goed voorbeeld hiervan is avg-antivirus die plots Windows bestanden delete, of een Windows update die plots met een bepaald stuk driver niet meer overweg kan en een BSOD geeft. Ze moeten eerst leren hun updates deftig te testen voor ze zo iets implementeren

postbus51 @MClaeys • 19 oktober 2010 17:02

avg-antivirus die plots Windows bestanden delete , dus ligt de fout bij AVG niet (SUN)-oracle of M$
Maar JRE in de updates is wel wat anders dan AVG (patchen moet fouten(exploits)verwijderen mss dat AVG daar anders over denkt

[Reactie gewijzigd door postbus51 op 22 juli 2024 15:41]

MClaeys @postbus51 • 20 oktober 2010 14:08

Ik gaf een voorbeeld van automatische updates die fout kunnen gaan, ik zeg nergens dat MS of Sun daar de schuld aan heeft.

Verwijderd 19 oktober 2010 16:17

Java runtime, nog iets wat ik liever niet installeer... Weet niet waarom eigelijk

Zoek ik wel een alternatief voor dat ene programma.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:41]

Zyppora @Verwijderd • 19 oktober 2010 16:29

Ik werk zelf bij een dienstverlener die gespecialiseerd is in een software pakket dat veel met Java doet. Het probleem is in veel gevallen dat updaten/upgraden == verloren functionaliteit omdat het niet 100% backwards compatible is. Er worden specifieke java versies als 'ondersteund' aangekaart en als je daarvan afwijkt en dan met problemen zit luidt het antwoord van de developer 'up/downgraden naar Java versie X'.

elmuerte @Zyppora • 19 oktober 2010 16:44

Updaten naar een nieuwe versie is echt niet zonder risico's. Bij het bedrijf waar ik werk hebben we op een gegeven moment een JRE update moeten terug draaien (6u21) omdat de software na een week opeens besloot om op willekeurige moment te segfaulten. In die versie versie JRE update zat een nieuwe versie van de Hotspot JVM waar veel interne dingen veranderd waren. En Oracle vond dat het een kleine update was van 1.6.0_20 naar 1.6.0_22 en niet naar 1.6.1.

"Java SE 6u21 includes version 17.0 of the Java HotSpot Virtual Machine with improvements to overall quality and features [...]"

tweakerbee @elmuerte • 19 oktober 2010 17:07

Das is meer een probleem met Oracle zijn release management, waarbij ze geen goede versienummering hanteren. Een volledige update van een kritiek component zou zeker een minor versiepunt update moeten zijn, en niet slechts een patch level.

alt-92 @tweakerbee • 19 oktober 2010 20:02

Das is meer een probleem met Oracle zijn release management, waarbij ze geen goede versienummering hanteren

En daarom wil je dat soort ellende niet via Microsoft Update hebben als MS zijnde.
Want 3x raden wie er dan op aangekeken wordt en de schadeclaims krijgt.

Nou ja, weten we gelijk weer waarom Steve Ballmer de laatste tijd bij allerlei grote software leveranciers op bezoek ging toch?

Dars123 19 oktober 2010 16:27

Een vraag van een leek: hoe gevoelig zijn Linux distributies voor deze aanvallen?

woekele @Dars123 • 19 oktober 2010 16:31

Het lijkt mij dat deze in mindere mate kwetsbaar zijn, omdat java waarschijnlijk via de package-manager beter up-to-date gehouden wordt. Maar dat hangt uiteraard af van de configuratie van de gebruiker.

Cloud @woekele • 19 oktober 2010 16:40

'Beter up-to-date', is dat wel zo?

Ik ben geen Java kenner, maar ik lees hier in verscheidene reacties dat de JRE niet goed backwards compatible is. Weet je zeker dat die Packagemanager de oude versies allemaal wel weggooit, i.p.v. bewaart voor die compatibiliteit?

Of gelden die problemen met backwards compatibility niet voor Linux systemen?

[Reactie gewijzigd door Cloud op 22 juli 2024 15:41]

elmuerte @Cloud • 19 oktober 2010 16:52

JRE is heel goed backwards compatible. Alleen zijn er soms bugs in nieuwe versies die nou net jou programma stuk maakt.
In het geval van Java programmas die met JNI modules komen gaat het vaker mis, maar dat is het probleem van native modules gebruiken in een Java applicatie.

zalazar 19 oktober 2010 16:29

Java is net zoals veel software helaas een groot probleem. Er zijn in het verleden al vele veiligheidsgaten gedicht. Waarschijnlijk heeft MS hier wel een punt. Ik ben de laatste tijd al behoorlijk wat PC's tegengekomen waar malware geinstalleerd was doordat Java niet up to date was.
Tegenwoordig zet ik daarom de browser plugin sowieso uit.

En verder is het updaten van Java inderdaad veel te omslachtig.
Het zou veel makkelijker gemaakt moeten worden.
Daar komt nog bij dat als je geen maatregelen neemt er na zo'n update veel vervuiling achter blijft qua onnodige files en registry zaken.

mashell @zalazar • 19 oktober 2010 16:43

En verder is het updaten van Java inderdaad veel te omslachtig.

Inderdaad. Je krijgt zo ongeveer elke week een update waarvan je installatie telkens moet bevestigen, licentie geneuzel Ok moet vinden etc. Er is dringend behoefte aan een silent background update mogelijkheid. Degenen die aan een oude moeten blijven hangen omdat er in het verleden compatibility fouten gemaakt zijn, zijn hier niet mee geholpen, maar degenen die telkens het nieuwste kunnen gebruiken zeker wel.

Op dit item kan niet meer gereageerd worden.

Microsoft: enorme toename aan malware-aanvallen via Java

Lees meer

IT-banen

Reacties (106)

Sorteer op:

Weergave: