Java uitschakelen doe je zo
Java is één van de populairste browser plug-ins op internet, maar ook één van de gevaarlijkste. In dit artikel gaat Security.nl in op de huidige problemen met Java, het verwijderen van de plug-in en eventuele alternatieven. Java, niet te verwarren met Javascript dat standaard door de browser wordt ondersteund, is ontwikkeld door Sun Microsystems, dat werd overgenomen door Oracle.
Inleiding
1. De huidige problemen met Java
2: Oude Java-versies verwijderen
3: Java in de browser uitschakelen
4: Alternatieve oplossingen
Via Java is het mogelijk om Java-applets te draaien. Java-applets zijn in principe gewoon programma's, zoals een online spel, de Secunia Online Inspector of verschillende online virusscanners, die allemaal Java vereisen. Ook werd Java standaard door OpenOffice geïnstalleerd, hoewel de nieuwste versie zonder wordt geleverd.
Voor het bekijken of gebruiken van de meeste websites is Java niet vereist. Volgens W3Techs gebruikt 4% van alle websites Java. Hoewel Java niet meer essentieel is, beschikt 70% van alle computers over de Java browser plug-in.
In Java 6 ondersteunden Sun/Oracle geen Address space layout randomization (ASLR) en Data Execution Prevention (DEP). Twee beveiligingsmaatregelen die het lastiger voor aanvallers moeten maken om beveiligingslekken in de software te misbruiken. Sinds Java 7 worden beide beveiligingsmaatregelen wel ondersteund.
Recent zijn er twee zero-day beveiligingslekken in Java ontdekt die aanvallers actief misbruiken om systemen te infecteren en waarvoor nog geen update beschikbaar is. De lekken bevinden zich in Java 7, wat de meest recente versie is. Het bezoeken van een kwaadaardige of gehackte website volstaat om besmet te raken. Zo wisten aanvallers op de website van Omroep West advertenties te plaatsen waarin een exploit voor de nieuwe Java-lekken verstopt zat.
De nu ontdekte aanvallen zijn gericht tegen Windows-gebruikers, maar de aanval werkt ook tegen computers met Mac OS X en Linux. Hoewel de aanval nu tegen Java 7 is gericht, zijn in het verleden ook talloze lekken in Java 6 ontdekt, die ook op grote schaal werden misbruikt. Microsoft luidde dan ook regelmatig de noodklok over de aanvallen op Java-gebruikers.
Naar aanleiding van de recente kwetsbaarheden, krijgen gebruikers, in afwachting op een update, het advies om Java te verwijderen of de plug-in in de browser uit te schakelen. Ook werd geadviseerd om Firefox NoScript of een tweede browser te gebruiken. Hieronder lopen we alle stappen en opties door.
Het eerste probleem met Java is dat in het verleden oudere versies bij de installatie van nieuwe versies bleven staan. Wie Java gebruikt moet dan ook controleren of er geen oude versies aanwezig zijn.
Ga naar Start > Configuratiescherm > Programma's > Programma's en Onderdelen.
Als Java is geïnstalleerd hoort hier één versie te staan. In het geval het meerdere versies zijn is het verstandig de oudste versies te verwijderen. Op dezelfde manier is Java ook in z'n geheel te verwijderen. Wat kan door met de rechtermuis op de Java-versie in kwestie te klikken.
Op dit moment ondersteunt Oracle twee Java versies, Java versie 6 en Java versie 7. In het geval van versie 6 is update 34 de meest recente versie, voor Java 7 zijn inmiddels 6 updates verschenen. Deze versies verschenen op 15 augustus. Oracle brengt elke twee maanden updates voor Java uit, waardoor de volgende patch op 16 oktober uitkomt. Als Oracle geen noodpatch uitbrengt, lopen Java-gebruikers met versie 7 zo'n zeven weken het risico om met malware besmet te raken.
Via deze pagina kun je controleren welke Java-versie je hebt.
Wil je Java blijven gebruiken of niet verwijderen, maar in afwachting van een update de browser plug-in uitschakelen, dan kan dit via de volgende manieren.
Java uitschakelen in Firefox
Ga naar Extra > Add-ons > Plug-ins
Kies nu bij Java Deployment Toolkit 7.0.60.24 en Java(TM) Platform SE7 U6 de optie uitschakelen. De plug-in is nu uitgeschakeld.
Java uitschakelen in Internet Explorer
Ga naar Extra > Invoegtoepassingen beheren
Kies nu bij Deployment Toolkit, Java(tm) Plug-in SSV Helper en Java(tm) Plug-in 2 SSV Helper de optie uitschakelen.
Java uitschakelen in Google Chrome
Ga naar Moersleutel > Instellingen > Geavanceerde instellingen weergeven... > Bij het kopje Plug-ins 'Afzonderlijke plug-ins uitschakelen > (zie screenshot)
Kies nu bij Java (2 files) - Versie x.x.x.x Next Generation Java Plug-in in x.x.x for Mozilla browsers de optie uitschakelen.
Java uitschakelen in Safari
Ga naar Bewerken > Voorkeuren > Beveiliging Verwijder nu het vinkje bij Activeer Java.
Om te testen of Java in de browser goed is uitgeschakeld heeft Rapid7 de website isjavaexploitable.com gelanceerd.
Chrome blokkeert standaard Java en vereist een extra click voordat Java-applets worden geladen, dit heet 'Click to Play'. De click moet op een zichtbaar onderdeel van de website plaatsvinden. Een verborgen iframe zal daardoor niet zo snel worden aangeklikt.
De optie is ook in Mozilla Firefox aanwezig, maar moet wel worden ingeschakeld. Type hiervoor in de adresbalk about:config en zoek bij het zoekveld naar de optie click_to_play. Vervolgens verschijnt bij Preference Name plugins.click_to_play. Verander hier de waarde, door dubbel te klikken, van False naar True.
NoScript
Een ander gehoord advies is het gebruik van Firefox NoScript. Bij veel drive-by downloads wordt JavaScript gebruikt om kwaadaardige code van een andere website te laden, iets wat NoScript standaard blokkeert. Als aanvallers de code op de gehackte website zelf plaatsen, zoals bij Nu.nl in maart van dit jaar gebeurde, zal NoScript geen bescherming bieden.
Tweede browser
Naast NoScript werd ook het gebruik van een tweede browser als alternatieve oplossing gehoord. Ook dit is geen waterdichte optie. Dit betekent ten eerste een extra browser, dus een extra programma om te beheren en up-to-date te houden. De website waarvoor je Java wil gebruiken, of de banners die daarop draaien, kunnen daarnaast zijn gecompromitteerd en zo alsnog de computer via de Java-exploit infecteren.
Update
Het wachten is dan ook op de update van Oracle. Java controleert zelf via een update feature of er nieuwe updates zijn. Zodra die er zijn laat Java dit weten via een pop-up en een klein vierkant logo in de taakbalk.
Het is echter aan de gebruiker om de update ook daadwerkelijk te installeren, aangezien dit niet automatisch gebeurt. Uit eerder onderzoek blijkt dat 60% tot 80% van de Java-gebruikers niet over de meest recente versie beschikt. Zodra de update van Oracle beschikbaar is zul je dit natuurlijk ook op Security.nl lezen.
Update: in eerste instantie stond vermeld dat OpenOffice standaard Java installeert, dit is niet meer bij recente versies het geval
Update 2: Oracle noodpatch voor Java is nu beschikbaar
Werken deze exploits ook zonder die toestemming?
Zie hier een oplossing om dit in het Java Control Panel uit te schakelen (dat is de beste oplossing)
http://techlogon.com/2011/11/05/how-to-disable-java-in-ie/
Deze instelling is ook in het register te doen. Zoek in je registry op:
deze waarde kan je pushen om java in IE uit te schakelen :
Via de Key:
HKLM\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in\[versienummer]\
Edit hierin de Dword (32-bit) value:
UseJava2IExplorer (zet deze op 0)
Mocht je de setting niet kunnen vinden, doe dan een search actie in de Registry op "UseJava2IExplorer"
[admin] Als je ook de Deployment Toolkit uitschakelt is het niet meer mogelijk om Java applets te laden. Ook zegt isjavaexploitable.com dan dat Java in de browser is uitgeschakeld [/admin]
zie: http://www.openoffice.org/download/common/java.html
Probleem van de pop-up is dat er standaard maar 1x per maand gecontroleerd wordt of er een nieuwere versie beschikbaar is. In Configuratiescherm kun je dit aanpassen en 1x per week of liever nog 1x per dag controleren.
Uiteraard hou je het nieuws in de gaten dus als Oracle een nieuwe versie uitbrengt hoor je dat vanzelf via bijvoorbeeld Security.nl.
En nee alleen als je toestaat dat deze code wordt uitegevoerd loop je gevaar.
Java uitschakelen waar mogelijk is!
als ik bij Firefox bij de add-onbeheerder bij plugins op updates controleer, zegt ie dat alles up to date is, klopt dit dan?
secunia geeft ook alles up to date aan.
groet ben.
wel juist geinterpreteerd worden.
Ik kreeg zojuist met alleen Java 1.6.33 op mijn PC het volgende resultaat:
Congrats! You appear to be running a version that isn't vulnerable to publicly disclosed exploits.
Dit terwijl er wel al een 1.6.34 update is. Bovendien heeft men het over "publicly disclosed exploits".
Voor de nu bekend gemaakte zero days ben je dus pas veilig als je Java eraf gooit of uitschakeld.
Dit klopt volgens mij niet. NoScript blokkeert in de default configuratie ook JavaScript op zgn. top-level sites. Dus tenzij Allow top-level sites by default staat ingeschakeld (Options>General), zal NoScript ook JavaScript die door de first-party site wordt geserveerd blokkeren.
Als ik "these... these civilized people" moet geloven - die echt altijd en overal een mening over moeten hebben en dan met name over zaken waar zij totaal geen verstand van hebben en zij volgende week alweer vergeten zijn, omdat de smartphone-zombies in kwestie in de waan van de dag leven -, dan zou het het beste zijn "als Java helemaal vernietigd wordt".
<preacher-mode>
Laat mij dit zeggen.... Java is echt overal.... 9 van de 10 keer kun je het niet zien, maar Java is er (period). Er worden mooie dingen ontwikkeld met Java, de samenleving wordt draaiende gehouden door Java, er worden levens gered met Java en in oorlogen wordt Java ingezet om de hele boel met precisie te vernietigen.
http://www.youtube.com/watch?v=xWVxI6XZAuE
</preacher-mode>
En... zo zit er bijvoorbeeld ook Java in jouw sim-kaart, dus Java-haters haal nu als de wiedeweer die sim-kaart uit jouw smartphone, want anders verloochen jij jouzelf.
Wat deze update fixt weet ik niet.
30 Aug 12
Security Fix for Critical Java Flaw Released
Oracle has issued an urgent update to close a dangerous security hole in its Java software that attackers have been using to deploy malicious software. The patch comes amid revelations that Oracle was notified in April about this vulnerability and a number other other potentially unpatched Java flaws.
Vallen OpenJDK, IcedTea en Ceylon (waar Red Hat momenteel aan werkt) onder de definitie van een Java implementatie (ik ben geen ontwikkelaar dus ik vraag het voor de zekerheid)? Als dat zo is waarom worden deze niet breder toegepast?
Heeft dat misschien te maken met het feit dat Java weliswaar open source is, maar dat de licentie restricties oplegt voor het gebruik in closed source applicaties?
30 Aug 12
Security Fix for Critical Java Flaw Released
Oracle has issued an urgent update to close a dangerous security hole in its Java software that attackers have been using to deploy malicious software
Ja helaas sluit deze alleen de hole die men op dit moment aan het gebruiken is en niet de 9 ofzo andere bekende holes.
Dus het is weer wachten op het volgende probleem.
Uitschakelen blijft het beste. Alleen zou het wel mooi zijn als een site als deze niet alleen screendumpjes voor de thuisgebruiker zou plaatsen maar ook oplossingen die door beheerders kunnen worden ingezet.
(group policy, registry keys, commandline opties e.d.)
Wat deze update fixt weet ik niet.
Ook die versie heeft zijn lekken (zelfs dezelfde lekken als de 6.30 heb ik gelezen). Deinstallatie is het beste want je wordt tegenwoodig toch serieus moe van al die lekken in met name java
Verder vertrouw ik volledig op mijn virusscanner en ad-aware software. Toevallig gisteren bij ScanCircle nog een test gedaan en daaruit bleek dat mijn pc ruim voldoende tegen aanvallen van buitenaf beschermd is. En in het ergste geval heb ik weer iets te doen.
Enige wat denk niet werkte vanwege geen java was een of andere foto resize applet op een site.
Dus waar hebben we het over.
Minder software = minder bugs.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
