Java is één van de populairste browser plug-ins op internet, maar ook één van de gevaarlijkste. In dit artikel gaat Security.nl in op de huidige problemen met Java, het verwijderen van de plug-in en eventuele alternatieven. Java, niet te verwarren met Javascript dat standaard door de browser wordt ondersteund, is ontwikkeld door Sun Microsystems, dat werd overgenomen door Oracle.
Inleiding
1. De huidige problemen met Java
2: Oude Java-versies verwijderen
3: Java in de browser uitschakelen
4: Alternatieve oplossingen
Via Java is het mogelijk om Java-applets te draaien. Java-applets zijn in principe gewoon programma's, zoals een online spel, de Secunia Online Inspector of verschillende online virusscanners, die allemaal Java vereisen. Ook werd Java standaard door OpenOffice geïnstalleerd, hoewel de nieuwste versie zonder wordt geleverd.
Voor het bekijken of gebruiken van de meeste websites is Java niet vereist. Volgens W3Techs gebruikt 4% van alle websites Java. Hoewel Java niet meer essentieel is, beschikt 70% van alle computers over de Java browser plug-in.
In Java 6 ondersteunden Sun/Oracle geen Address space layout randomization (ASLR) en Data Execution Prevention (DEP). Twee beveiligingsmaatregelen die het lastiger voor aanvallers moeten maken om beveiligingslekken in de software te misbruiken. Sinds Java 7 worden beide beveiligingsmaatregelen wel ondersteund.
Recent zijn er twee zero-day beveiligingslekken in Java ontdekt die aanvallers actief misbruiken om systemen te infecteren en waarvoor nog geen update beschikbaar is. De lekken bevinden zich in Java 7, wat de meest recente versie is. Het bezoeken van een kwaadaardige of gehackte website volstaat om besmet te raken. Zo wisten aanvallers op de website van Omroep West advertenties te plaatsen waarin een exploit voor de nieuwe Java-lekken verstopt zat.
De nu ontdekte aanvallen zijn gericht tegen Windows-gebruikers, maar de aanval werkt ook tegen computers met Mac OS X en Linux. Hoewel de aanval nu tegen Java 7 is gericht, zijn in het verleden ook talloze lekken in Java 6 ontdekt, die ook op grote schaal werden misbruikt. Microsoft luidde dan ook regelmatig de noodklok over de aanvallen op Java-gebruikers.
Naar aanleiding van de recente kwetsbaarheden, krijgen gebruikers, in afwachting op een update, het advies om Java te verwijderen of de plug-in in de browser uit te schakelen. Ook werd geadviseerd om Firefox NoScript of een tweede browser te gebruiken. Hieronder lopen we alle stappen en opties door.
Het eerste probleem met Java is dat in het verleden oudere versies bij de installatie van nieuwe versies bleven staan. Wie Java gebruikt moet dan ook controleren of er geen oude versies aanwezig zijn.
Ga naar Start > Configuratiescherm > Programma's > Programma's en Onderdelen.
Als Java is geïnstalleerd hoort hier één versie te staan. In het geval het meerdere versies zijn is het verstandig de oudste versies te verwijderen. Op dezelfde manier is Java ook in z'n geheel te verwijderen. Wat kan door met de rechtermuis op de Java-versie in kwestie te klikken.
Op dit moment ondersteunt Oracle twee Java versies, Java versie 6 en Java versie 7. In het geval van versie 6 is update 34 de meest recente versie, voor Java 7 zijn inmiddels 6 updates verschenen. Deze versies verschenen op 15 augustus. Oracle brengt elke twee maanden updates voor Java uit, waardoor de volgende patch op 16 oktober uitkomt. Als Oracle geen noodpatch uitbrengt, lopen Java-gebruikers met versie 7 zo'n zeven weken het risico om met malware besmet te raken.
Via deze pagina kun je controleren welke Java-versie je hebt.
Wil je Java blijven gebruiken of niet verwijderen, maar in afwachting van een update de browser plug-in uitschakelen, dan kan dit via de volgende manieren.
Java uitschakelen in Firefox
Ga naar Extra > Add-ons > Plug-ins
Kies nu bij Java Deployment Toolkit 7.0.60.24 en Java(TM) Platform SE7 U6 de optie uitschakelen. De plug-in is nu uitgeschakeld.
Java uitschakelen in Internet Explorer
Ga naar Extra > Invoegtoepassingen beheren
Kies nu bij Deployment Toolkit, Java(tm) Plug-in SSV Helper en Java(tm) Plug-in 2 SSV Helper de optie uitschakelen.
Java uitschakelen in Google Chrome
Ga naar Moersleutel > Instellingen > Geavanceerde instellingen weergeven... > Bij het kopje Plug-ins 'Afzonderlijke plug-ins uitschakelen > (zie screenshot)
Kies nu bij Java (2 files) - Versie x.x.x.x Next Generation Java Plug-in in x.x.x for Mozilla browsers de optie uitschakelen.
Java uitschakelen in Safari
Ga naar Bewerken > Voorkeuren > Beveiliging Verwijder nu het vinkje bij Activeer Java.
Om te testen of Java in de browser goed is uitgeschakeld heeft Rapid7 de website isjavaexploitable.com gelanceerd.
Chrome blokkeert standaard Java en vereist een extra click voordat Java-applets worden geladen, dit heet 'Click to Play'. De click moet op een zichtbaar onderdeel van de website plaatsvinden. Een verborgen iframe zal daardoor niet zo snel worden aangeklikt.
De optie is ook in Mozilla Firefox aanwezig, maar moet wel worden ingeschakeld. Type hiervoor in de adresbalk about:config en zoek bij het zoekveld naar de optie click_to_play. Vervolgens verschijnt bij Preference Name plugins.click_to_play. Verander hier de waarde, door dubbel te klikken, van False naar True.
NoScript
Een ander gehoord advies is het gebruik van Firefox NoScript. Bij veel drive-by downloads wordt JavaScript gebruikt om kwaadaardige code van een andere website te laden, iets wat NoScript standaard blokkeert. Als aanvallers de code op de gehackte website zelf plaatsen, zoals bij Nu.nl in maart van dit jaar gebeurde, zal NoScript geen bescherming bieden.
Tweede browser
Naast NoScript werd ook het gebruik van een tweede browser als alternatieve oplossing gehoord. Ook dit is geen waterdichte optie. Dit betekent ten eerste een extra browser, dus een extra programma om te beheren en up-to-date te houden. De website waarvoor je Java wil gebruiken, of de banners die daarop draaien, kunnen daarnaast zijn gecompromitteerd en zo alsnog de computer via de Java-exploit infecteren.
Update
Het wachten is dan ook op de update van Oracle. Java controleert zelf via een update feature of er nieuwe updates zijn. Zodra die er zijn laat Java dit weten via een pop-up en een klein vierkant logo in de taakbalk.
Het is echter aan de gebruiker om de update ook daadwerkelijk te installeren, aangezien dit niet automatisch gebeurt. Uit eerder onderzoek blijkt dat 60% tot 80% van de Java-gebruikers niet over de meest recente versie beschikt. Zodra de update van Oracle beschikbaar is zul je dit natuurlijk ook op Security.nl lezen.
Update: in eerste instantie stond vermeld dat OpenOffice standaard Java installeert, dit is niet meer bij recente versies het geval
Update 2: Oracle noodpatch voor Java is nu beschikbaar
Deze posting is gelocked. Reageren is niet meer mogelijk.