Kaspersky: Java populairste doelwit van malwareauteurs

Van alle kwetsbaarheden in software worden die in Java het meest misbruikt door malware; maar liefst 56 procent van de malware richt zich daarop. Dat blijkt uit cijfers van Kaspersky. Ook kwetsbaarheden in Acrobat Reader worden vaak misbruikt door aanvallers.

Kaspersky baseert zich op malware die is onderschept door zijn virusscanner. Acrobat Reader van Adobe is goed voor nog eens 25 procent van de aanvallen; samen hebben deze twee softwarepakketten 81 procent van de 'exploitmarkt' in handen. Slechts vier procent van de malware richt zich op kwetsbaarheden in Windows en Internet Explorer. Ongeveer 2 procent is gericht op mobiel besturingssysteem Android. De cijfers hebben betrekking op het afgelopen kwartaal.

De populariteit van Java onder malware-auteurs kan worden verklaard door de hoge install-base: volgens Oracle is Java geïnstalleerd op 1,1 miljard pc's. Wat echter ook meespeelt, voert Kaspersky aan, is dat veel gebruikers Java niet updaten en dat veel Java-bugs makkelijk te misbruiken zijn.

Kwetsbare Java-versies komen volgens Kaspersky vaak voor. Zo is 35 procent van de gebruikers kwetsbaar voor een aantal kwetsbaarheden die in augustus werden ontdekt en die het op afstand uitvoeren van malafide code mogelijk maken. Een patch die die bugs oploste maar zelf nieuwe kwetsbaarheden introduceerde, is geïnstalleerd op 21,7 procent van de pc's. Ook onveilige versies van Flash, Acrobat, iTunes, Winamp en Shockwave komen vaak voor.

Het beveiligingsbedrijf zegt dat Nederland een populaire thuishaven is voor het hosten van malware. Volgens het bedrijf werd 17 procent van de malware in Nederland gehost in het afgelopen kwartaal. Dat is een stijging van 5,8 procentpunt. Alleen de Verenigde Staten en Rusland zijn populairder, met respectievelijk 20 en 23 procent.

In september kwam McAfee tot de conclusie dat driekwart van de Europese, met malware besmette hostingservers in Nederland staat. Dat onderzoek leidde tot kamervragen, en in antwoord daarop relativeerde minister Ivo Opstelten van Veiligheid en Justitie die bevindingen. De minister haalde daarbij cijfers van Kaspersky aan, waaruit bleek dat 12 procent van de besmette malwaresites in Nederland te vinden zou zijn. Inmiddels is dat cijfer dus gestegen.

Onderzoek Kaspersky

Meest misbruikte software. Bron: Kaspersky

Door Joost Schellevis

Redacteur

Feedback • 05-11-2012 12:2743

05-11-2012 • 12:27

43 Linkedin

Lees meer

Bug in Kaspersky-firewall maakt systeemcrash mogelijk Nieuws van 8 maart 2013
Apple blokkeert oudere versies van Adobe Flash in Safari Nieuws van 2 maart 2013
Adobe gaat beveiligingsproblemen in Reader verhelpen Nieuws van 18 februari 2013
'Beveiligingslek Adobe Reader wordt actief misbruikt' Nieuws van 13 februari 2013
Microsoft brengt 'modern.ie'-browsertools uit Nieuws van 31 januari 2013
Kaspersky: malware-aanval op overheden bleef vijf jaar onopgemerkt Nieuws van 14 januari 2013
Oracle: Java-lek wordt 'binnenkort' gerepareerd Nieuws van 13 januari 2013
Apple blokkeert Java op Mac OS X Nieuws van 12 januari 2013
Oracle activeert auto-updatetool voor migratie naar Java 7 Nieuws van 17 december 2012
Kwetsbaarheid in Internet Explorer maakt volgen muiscursor mogelijk Nieuws van 12 december 2012
Opstelten: helft consumenten heeft geen idee van cybersecurity Nieuws van 12 november 2012
Meer producten en artikelen
Beveiliging en antivirus Software development Kaspersky Lab Java

Reacties (43)

-Moderatie-faq
43
43
32
4
0
4
Wijzig sortering
pim
5 november 2012 12:33
In september kwam McAfee tot de conclusie dat driekwart van de Europese hostingservers in Nederland staat.
Vreemde zin. Pas na door te klikken naar het bron artikel kwam ik erachter dat het om besmette servers gaat:
Driekwart besmette Europese hostingservers staat in Nederland
TheDauntless
5 november 2012 12:47
Hoe wordt die Java Runtime dan juist aangevallen? Vanuit het browser lijkt me evident, maar kan hij ook rechtstreeks aangevallen worden? Of wordt er bijvoorbeeld via een windows exploit binnen gedrongen om daarna eenvoudig via Java tot root te geraken?

Ik heb bijvoorbeeld NoScript runnen dus Java applets worden nooit standaard uitgevoerd, maar dat is misschien maar een vals veiligheidsgevoel ?
Janoz
@TheDauntless5 november 2012 13:37
Zo goed als alle java exploits gaan via applets. Wanneer je java niet als plugin voor je browser hebt, of dit hebt uitgeschakeld, dan heb je geen last van deze exploits.
Marco1994
@TheDauntless5 november 2012 12:52
Het komt voor via een niet geüpdatet versie van java, de meest bekende klpd krijgt toegang tot de root
codex
5 november 2012 12:30
Wat ik mij af vraag: in hoeverre heeft de overname van Oracle hieraan bijgedragen? Ik weet dat Oracle hier en daar steekjes laat vallen in de ondersteuning, zou dit hier onderdeel van zijn?
Vexxon
@codex5 november 2012 12:38
Wat echter ook meespeelt, voert Kaspersky aan, is dat veel gebruikers Java niet updaten en dat veel Java-bugs makkelijk te misbruiken zijn.
Dat vind ik ook niet zo gek, je wordt tegenwoordig helemaal doodgegooid met updates van bv. Java en ook Flash.
Ze hebben tegenwoordig meer updates dan Windows.
Deïnstalleren van Java en Flash is voor mij de beste optie.

[Reactie gewijzigd door Vexxon op 5 november 2012 12:39]

The Zep Man
@Vexxon5 november 2012 12:47
[...]

Dat vind ik ook niet zo gek, je wordt tegenwoordig helemaal doodgegooid met updates van bv. Java en ook Flash.
Dat valt juist vies tegen bij Java. Zo wordt een bekende en ernstige exploit in Java pas in februari gedicht. Uit onderzoek blijkt dat het patchen helemaal niet veel tijd en middelen hoeft te kosten (inclusief testen).
Ze hebben tegenwoordig meer updates dan Windows.
Microsoft heeft maandelijks vaste patchrondes. Java niet. Flash zie ik voor het gevoel wel redelijk vaak, maar kan mij voorstellen dat dit ook maandelijks is.
Deïnstalleren van Java en Flash is voor mij de beste optie.
Voor jou wel, maar sommige gebruikers zijn gebonden aan het gebruik van Java.

Een groter probleem is dat Java als plugin standaard is ingeschakeld in de meeste browsers en dat websites op afstand Java kunnen starten. Firefox heeft als testfunctie al 'click to play' (about:config -> plugins.click_to_play), maar dit staat standaard niet aan.

[Reactie gewijzigd door The Zep Man op 5 november 2012 12:51]

mschol
@The Zep Man5 november 2012 13:55
wat nog een bijkomend probleem is van java is dat oude versies niet vervangen worden, maar er nieuwere versies naast geinstalleerd worden, waardoor je in princiepe nog steeds vatbaar kan zijn...
gimbal
@mschol5 november 2012 15:36
Dat is al sinds java 6 update 10 niet meer waar.
AlexKnight1978
@gimbal5 november 2012 16:59
Dat klopt, maar.... als er nog versies van voor update 10 erop staan, blijven die er gewoon op staan.

Ik zie op mijn werk nog steeds PC's langskomen met Java versie 5, update xx, en diverse 6 updates.

Hetzelfde als met Java 7, die laat de versie 6 ook gewoon staan.
Horrorist618
@AlexKnight19785 november 2012 22:01
Wat schijfruimte betreft, ook Java 7 laat setup bestanden van eerdere versies achter. Als je gaat rondneuzen in je gebruikersprofiel (AppData) kan je ze vinden, ook iets die eindelijk eens mag opgekuist worden door de installer. Zie ook een eerdere post.

Maar het is al een flinke verbetering dat men nu al sinds ergens in versie 6 de boel gewoon kan upgraden in plaats van dat het gewoon de nieuwe versie naast de oude installeert, scheelt weer een paar manuele handelingen.

[Reactie gewijzigd door Horrorist618 op 5 november 2012 22:06]

mae-t.net
@mschol5 november 2012 15:36
Dat was vroeger inderdaad zo, maar inmiddels al enkele jaren niet meer het geval. Scheelt ook een hoop schijfruimte.
j0ris57
@Vexxon5 november 2012 13:16
Afgezien van de kwetsbaarheden, is er voor mij nog een extra reden om Java niet te installeren op PCs van bijv. senioren:

Bij elke update installeert Java standaard de Ask toolbar mee. Die optie kan je uitvinken, maar uiteraard doen velen dit niet. Met als resultaat een browser die er "opeens" anders uitziet, zoekresultaten anders worden, etc.
Rob Coops
@codex5 november 2012 13:18
Ik denk dat het meer iets te maken heeft met de aanpak van Microsoft om de beveiliging van hun systemen eindelijk eens wat beter te organiseren.

Enkele jaren geleden was je toch een partij gek als je de moeite nam om via Java or Flash een systeem aan te vallen het OS was zo lek als een mandje. Na vele aanvallen en vele schandelijke situaties waar enorme delen van de wereld werden aan gevallen en waar de fout echt niet lag bij de schrijvers van de malware maar eerder bij de schrijvers van het OS die simpel weg niets van beveiliging begrepen of in ieder geval de moeite niet namen deze kennis in praktijk te brengen is dat nu wel anders. Microsoft heeft het een stuk lastiger gemaakt om hun OS aan te vallen en dus zoeken de malware makers naar een nieuwe manier die minder goed beveiligd is.

Oracle's overname heeft hier weinig tot niets mee van doen het is simpel weg de overblijfselen van Sun en de manier waarop men daar met de beveiliging van Java omging. Oracle is waarschijnlijk zeker nu dit soort rapporten meer en meer verschijnen langzaam maar zeker meer mensen aan het trainen om de beveiliging serieus te nemen en om te begrijpen hoe een aanval gedaan kan worden.
Google heeft al meerdere malen verschillende studies gebruikt om aan te tonen dat als mensen weten hoe een gebruikelijke aanval plaats vind dat het veel al doodsimpel is om ze te voorkomen door dat je er van af het begin af aan rekening mee houd als developer. Ook Microsoft heeft deze zelfde aanpak gebruikt toen zij besloten het OS veiliger te maken. Niet alleen mensen de theorie laten zien maar ze ook in de praktijk leren hoe zo iets nu in zijn werk gaat. En natuurlijk het testen van de code om te kijken of buffer overflows voorkomen worden dan wel fatsoenlijk worden afgehandeld.

Adobe is een peop bedrijf dat waarschijnlijk nooit iets zal doen aan de extreem slechte code achter flash en Acrobat reader wat een even grote open deur is. Een van de dingen die veel mensen nog niet beseffen is dat het feit dat je vrijwel zonder enige restrictie code kunt uitvoeren die in een pdf verstopt zit (functionaliteit die Adobe wel handig leek) betekend dat er nog minimaal een paar jaar aan malware via die weg beschikbaar is.

Wat bedrijven zo als Microsoft en en mindere mate Google, die van af het begin al een focus had op beveiliging, bewijzen is dat met een klein beetje goede wil een zeer groot deel van de malware schrijvers simpel weg op zoek gaat naar makkelijkere doelen. Ondanks dat je als je een lek in Windows vind je veel meer bereik hebt dan met Java of Flash is het minder de moeite waard omdat het meer werk is en omdat het waarschijnlijk sneller opgelost is dan een lek in de andere twee.
Oracle lijkt serieus werk te maken van Java en het zou me niets verbazen als ze een van de volgende releases voornamelijk richten op de enorme hoeveelheid lekken in de bestaande code in plaats van nieuwe code te schrijven. Als ze dat doen dan kon de pie chart hier boven er nog wel eens heel aders uitzien over een jaar of twee.
Titan_Fox
@codex5 november 2012 13:40
Iets met "open deuren intrappen".

Als je bijvoorbeeld Secunia PSI gebruikt om je software actueel te houden zie je dat Java altijd een hoge risico met zich meebrengt. Zelfs na al het patchen blijft de balk rood. Kan me niet herinneren dat Java de afgelopen jaren een lager risico als 4/5 heeft gehad bij Secunia.
SuperDre
@codex5 november 2012 13:30
Onzin, onder het beleid van Sun was het ook niet veel beter hoor..
JoSoFijn
5 november 2012 13:58
"ook onveilige versies van Flash, Arobat, iTunes, Winamp en Shockwave komen vaak voor."

Flash, Arobat, iTunes en Shockwave snap ik nog wel, maar wat moet je met Winamp doen dat onveilig zou kunnen zijn?

En voor al die mensen die zeggen dat je java beter weg kan doen: wat is jullie alternatief ervoor dan?
eentje die mij dan wel gewoon mijn andere verslaving Minecraft laat spelen?
VFRRijder
@JoSoFijn5 november 2012 14:02
Wat ik hier boven ook lees is het niet zo'n probleem als je die browser plugins maar niet aan hebt staan. Ik heb java ook voor een applicatie nodig, maar ga dan wel zorgen dat dus de plugins uit staan.
johnbetonschaar
@JoSoFijn5 november 2012 14:29
Flash, Arobat, iTunes en Shockwave snap ik nog wel, maar wat moet je met Winamp doen dat onveilig zou kunnen zijn?
Ik heb in het verleden wel eens gehoord van MP3'tjes met ongeldige ID3 tags die tot buffer overflows konden leiden in bepaalde MP3 spelers. Vandaar is het een kleine stap tot het injecteren van uitvoerbare code.
Anoniem: 440602
@JoSoFijn5 november 2012 16:10
Winamp registreert bestands extensies voor skins en plugins, malware kan een bestand aanmaken wat code bevat die wanneer uitgevoerd door winamp ongewenste effecten heeft.

Gaat beetje zoals dit: bestand op pc aanmaken met een van deze extensies, shell gebruiken om deze te starten wat dus betekent dat windows zoekt welk programma gebruikt moet worden om het bestand te openen, winamp (skin) installer probeert het bestand te openen maar file format is zo geconstrueerd dat het een overflow genereert in winamp installer en de payload van het bestand kan nu worden uitgevoerd met zelfde rechten als de installer ( dit zou het ingebakken system account zijn ).
mcDavid
5 november 2012 12:32
Opvallende afwezigen in deze pie-chart zijn de internetbrowsers. Blijkbaar is het stukje software waar normaliter de meeste aandacht naar uitgaat als het op veiligheid aankomt, in de praktijk nauwelijks de schuldige bij mallware-besmettingen.
Vexxon
@mcDavid5 november 2012 12:41
Windows/IE 4% staat in het plaatje. Nog steeds opvallend weinig.
Zeker als je ziet dat Acrobat Reader en Java vele malen hogere scores behalen dan een OS + browser waar het op/in draait.
_JGC_
@mcDavid5 november 2012 12:46
Internetbrowsers zijn inmiddels behoorlijk veilig geworden. Probleem met Adobe Reader, Flash en Java is dat je over het algemeen exploits maar eenmalig hoeft te schrijven en meteen alle browsers te pakken kunt nemen, en met een beetje mazzel zelfs multi-platform.

Daarnaast is het patchbeleid van de browser en OS-fabrikanten gewoon veel beter dan die van Oracle. Laatst was er een nieuwsbericht over een bug die te laat bekend was gemaakt, werd niet meegenomen in de patchronde van oktober, maar moet wachten tot februari. Dan hebben we het over een securitybug die inmiddels actief gebruikt wordt, maar pas over 4 maanden gepatcht wordt.
Als je als malwarebouwer moet kiezen tussen een bug die waarschijnlijk al opgelost is op de meeste systemen, of een bug die pas in februari gefixt gaat worden...
Anoniem: 481534
5 november 2012 12:33
Het is de arrogantie van Oracle om daar iets mee te doen, volgens mij slapen ze.
blouweKip
@Anoniem: 4815345 november 2012 13:26
Oracle heeft sun niet overgenomen voor java, net als openoffice was het vooral lastig voor ze
.oisyn
@blouweKip5 november 2012 14:33
Grapjas. Er zijn twee redenen geweest om Sun over te nemen: Java en Solaris. Oracle deed zelf al ontzettend veel zowel de programmeertaal als het OS. Wellicht ben je in de war met MySQL.
Oracle's move on Sun is partly motivated by a desire to snap up two pieces of software – the programming language Java and Sun's Solaris operating system, both widely used throughout the world.

[..]

Oracle sees the company as a logical fit because Sun's Java and Solaris software is already used in its own fleet of databases and in its middleware software, which joins diffuse applications. Oracle's chief executive, Larry Ellison, said Java was one of the industry's best-known brands, used on hundreds of millions of computers, mobile phones and even DVD players.

[Reactie gewijzigd door .oisyn op 5 november 2012 14:34]

CrashOverDrive
5 november 2012 12:34
Afgelopen maand op 2 notebooks en op de pc ransomware gehad die via Java binnenkwam (meest recente versie, oude versies verwijderd). Op de laptop zelfs 3x binnen enkele dagen. Vervolgens java eraf gegooid en geen problemen meer gehad. Bij veel klasgenoten hetzelfde }:O

*en het gaat hier om systemen met up2date antivirus. Avira op 1 van de laptops, Security essentials op de andere.G-data op de pc.. Geen van allen kon het virus vinden.

[Reactie gewijzigd door CrashOverDrive op 5 november 2012 12:36]

Cergorach
@CrashOverDrive5 november 2012 12:50
Er zit een groot lek in Java dat ze dus waarschijnlijk pas gaan dichten in februari, ik draai juist nog een oudere versie waar dat gat niet in zit. Dat is ook weer een risico, maar ik neem de gok dat een dat dat flink in de media is geweest eerder wordt misbruikt dan een aantal gaatjes van maanden geleden die waarschijnlijk wel al gedicht zijn. Het is een nare situatie, ik heb al overwogen om Java te deinstalleren, maar een aantal applicaties maken daar gebruik van. De kans is nu zelfs aanwezig dat ik de betreffende applicaties in een virtual machine ga draaien en daar alleen Java op installeer, dan beperk ik de problemen zoveel mogelijk.
hackerhater
@Cergorach5 november 2012 14:51
Als je firefox gebruikt is wellicht noscript een optie? Dat blokkeerd het uitvoeren van oa flash en java tot jij explisiet toestemming geeft.

Ik gebruik gelukkig de openJDK die wat beter qua veiligheid is want ik heb java perse nodig (oa eclipse)

[Reactie gewijzigd door hackerhater op 5 november 2012 14:52]

CaptJackSparrow
@CrashOverDrive5 november 2012 18:45
Al meerdere jaren geleden besloot ik dat Java en Javascript te grote beveiligingsrisico's aan het worden waren. Ik heb toen QuickJava en NoScript in Firefox geïnstalleerd.

Java staat standaard uit en dat is altijd zichtbaar aan het rode knopje in de statusbalk. Het is slechts zeer zelden nodig om dat tijdelijk aan te zetten. De rest van de tijd kan in elk geval niet elke webpagina zomaar Java gebruiken op mijn computer.

Dit bericht bevestigt mijn besluit van toen alleen maar.
IIsnickerII
5 november 2012 14:28
Slechts 2% android root. Houd dit alle functionaliteiten van android die niet uitgevoerd worden in java in, of is dat het algemene aantal virussen gericht op android. Ik kan me namelijk voorstellen dat de java infecties flink zijn toegenomen sinds het populair worden van android.
hackerhater
@IIsnickerII5 november 2012 14:56
De meeste android root exploits vereisen dat je systeem via een kabeltje in debug mode wordt gezet. Niet gevaarlijk van buitenaf dus.
Deem
5 november 2012 12:38
Mijn advies: Heb je Java niet echt nodig, gooi het er dan direct af! Ik heb al hoop ellende om mij heen gezien waarbij Java een hoofdrol speelt waarbij alle beveiligingsmaatregelen in acht waren genomen. (AV met laatste defenities, firewall aan, ect.)

[Reactie gewijzigd door Deem op 5 november 2012 12:40]

kevinwalter
5 november 2012 12:40
Moet wel zeggen dat Android Root een hoog percentage heeft!
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee