×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Oracle heeft Java-lek niet gepatcht'

Door , 56 reacties

Oracle heeft een beveiligingsprobleem in Java niet gepatcht; enkel de exploit is onschadelijk gemaakt. Dat beweert een beveiligingsbedrijf. Een aanvaller met voldoende kennis zou daardoor een nieuwe exploit voor hetzelfde probleem kunnen schrijven.

JavaDe Java-patch die maandag verscheen om een urgent beveiligingsprobleem in Java te verhelpen, lost het probleem van het uitvoeren van eigen code niet op. Dat claimt beveiligingsbedrijf Immunity.

Volgens Java-eigenaar Oracle verhielp de patch twee beveiligingsproblemen, waaronder een lek dat actief zou worden misbruikt: volgens beveiligingsbedrijf Alien Vault was een exploit voor het probleem opgenomen in onder meer de BlackHole-exploitkit. Exploitkits misbruiken kwetsbaarheden in software om malware te installeren op pc's van gebruikers.

Immunity ontdekte echter dat de patch enkel de exploit het werk onmogelijk maakt; het beveiligingsprobleem zelf is niet verholpen. Daardoor zou een aanvaller met voldoende kennis van de broncode van Java - die vrij toegankelijk is - een nieuwe exploit kunnen schrijven die hetzelfde beveiligingsprobleem misbruikt.

De patch van maandag maakt het aanvallers wel moeilijker om beveiligingsproblemen te misbruiken, doordat Java code zonder certificaat en self-signed code niet meer standaard uitvoert. Daardoor moeten aanvallers code voorzien van een geldig certificaat; anders moeten gebruikers er bewust voor kiezen om de Java-applet uit te voeren. Dat is minder interessant voor exploit-kits, aangezien die ongezien hun werk willen doen.

Waarschijnlijk heeft Oracle gekozen voor een snelle fix om de exploit ontoegankelijk te maken omdat het beveiligingsprobleem oplossen te veel tijd zou kosten. Mogelijk volgt een definitieve oplossing tijdens Oracles eerstvolgende patchronde, in februari.

Door Joost Schellevis

Redacteur

15-01-2013 • 12:56

56 Linkedin Google+

Reacties (56)

Wijzig sortering
Waarom is het nog steeds niet mogelijk om in java een whitelist te maken voor sites die wel java mogen gebruiken? Als je een site niet op de whitelist heb gezet dan krijgt ie ook geen toegang tot de java plugin. Is dat nu zo moeilijk... Ik raad iedereen aan om Java zo snel mogelijk te verwijderen.
Mega boete opleggen, dit is totaal onverantwoord bezig zijn
Welk lek? Die van vorige week of die van daarvoor?
Ik vraag me af of Oracle gewoon verschrikkelijke code schrijft of dat Java hacken gewoon een hype is.
Ik adviseer iedereen Java (tijdelijk) te verwijderen
Doorgaans installeer je Java als je het nodig hebt, dus wat is dat voor onzinnig advies. Exploit in Firefox: "ik raad aan om Firefox te verwijderen". Exploit in OS X "ik raad aan om geen Macs te gebruiken". Exploit in Word: "ik raad aan om Word te verwijderen".
Of gebruik gewoon NoScript...
JavaScript is geen Java en andersom ook niet, NoScript doet niks.
Noscript blokkeerd ook het automatisch uitvoeren van plugins als flash en java
Het zal dus wel werken.
Ik heb een beter advies: niet meer online gaan. En het veiligste ben je pas als je alle computers wegdoet.
Inderdaad maar wel met de auto gaan terwijl dat het gevaarlijkste is wat er gem. elke dag gedaan wordt :)
Statistisch gezien gebeuren de meeste ongelukken thuis...

Daar kan je dus voortaan ook beter wegblijven. :P
wordt lastig als je software hebt draaien dat java nodig heeft, zoals bv Universal/PS3 media server, of welke andere van de duizenden softwarepakketten die er gebruik van maken..
Java is nog steeds een prima platform om web gebaseerde applicaties mee te bouwen; de Java enterprise markt daar verdien ik nog genoeg poen mee en het aanbod via linkedin blijft met zeer sterke regelmaat binnenkomen.

Laten we applets AUB vergeten. Java hoort op een server en in embedded devices, nergens anders. Op die plekken gaan mensen er ook geen misbruik van maken; als men al zover komt dan zijn er zwaardere security issues aan de hand.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*