image

Oracle noodpatch verhelpt 50 Java-lekken

zaterdag 2 februari 2013, 18:15 door Redactie, 12 reacties

Wegens een ernstig beveiligingslek in Java dat actief door aanvallers wordt gebruikt om computers over te nemen, heeft Oracle een geplande beveiligingsupdate ruim twee weken eerder uitgebracht. Er gingen al geruime tijd geruchten dat er mogelijk in de meest recente versie van de software een nieuw beveiligingslek was ontdekt. Op een forum bood iemand een nieuwe zero-day exploit aan.

Deze aankondiging verscheen een dag na de vorige noodpatch van Oracle, die halverwege januari werd uitgebracht. Ook toen moest het bedrijf met een noodpleister komen vanwege een lek in de software waardoor internetgebruikers actief met malware werd besmet.

Hoewel er geen meldingen over zero day-aanvallen bekend zijn geworden, blijkt dat er inderdaad een lek in de software aanwezig is waardoor aanvallers kwetsbare systemen hebben overgenomen.

In tegenstelling tot Microsoft dat elke maand updates uitbrengt, doet Oracle dit elk kwartaal. Het bedrijf noemt dit de Critical Patch Update (CPU). De eerstvolgende CPU stond oorspronkelijk voor 19 februari gepland. Vanwege het nieuw misbruikte lek is die datum nu naar voren gehaald.

Update
In totaal verhelpt de Critical Patch Update 50 beveiligingslekken in zowel Java 6 als Java 7. Internetgebruikers die Java nog geïnstalleerd hebben kunnen updaten via Java.com.

Deze week werd bekend dat ondanks het verschijnen van Java-updates, alle waarschuwingen van overheidsorganisaties en media-aandacht voor aangevallen beveiligingslekken in de software, de meeste gebruikers niet of pas na zeer lange tijd updaten.

Zo bleek dat na zo'n zeven weken sinds het verschijnen van een nieuwe Java-update, die door nog geen 30% van de gebruikers was geïnstalleerd. Het bezoeken van een gehackte of kwaadaardige website met een kwetsbare Java-versie is voldoende om besmet te raken.

Op zo'n 68% van alle computers is Java geïnstalleerd. Reden voor Mozilla om Java in toekomstige versies van Firefox proactief te blokkeren. Gebruikers moeten dan eerst een extra muisklik uitvoeren voor het laden van Java-content. Gisteren besloot Apple al om Java in Mac OS X te blokkeren.


Gebruikers met gepatchte Java-installatie (Fixed) tegenover ongepatchte Java-installatie (Affected) op weekbasis.

Reacties (12)
02-02-2013, 18:20 door 0101
Voor degenen die Java willen downloaden, zonder Ask toolbar en andere rommel:

Java 6, zonder de nieuwe features (en beveiligingslekken) van Java 7:
https://www.java.com/nl/download/manual_v6.jsp

Java 7, de laatste mayor versie van Java:
https://www.java.com/nl/download/manual.jsp

Ook handig: hoe schakel je de Java browser plugin uit:

Java 6, laatste update: https://www.security.nl/artikel/42869/1/Java_uitschakelen_doe_je_zo.html

Java 7, laatste update: https://www.java.com/nl/download/help/disable_browser.xml
02-02-2013, 18:50 door Anoniem
Dit heeft toch geen zin meer ik denk dat half miljoen nederlanders java er inmiddels wel eraf heeft gehaald ik heb nu een week geen java meer en merk niks verschillends
02-02-2013, 19:23 door Anoniem
Op de website van Adam Gowdiak staat nu:

1 Feb:
Oracle provides a status report regarding upcoming Java CPU. The company informs that fixes for Issues 29, 50, 52 and 53 will be incorporated into Critical Patch Update, due to be released on Feb 01, 2013.

Maar hoe zit het dan met de fix voor Issue 51?
02-02-2013, 20:58 door Anoniem
Ik heb vandaag alle Java bugs op mijn systeem verholpen.
Control panel > Programs and features > Java zoeken > uninstall.
03-02-2013, 01:54 door WesleySmalls
Waarom met Java, welke nu nogal lek blijkt te zijn maar elk kwartaal een update uitbrengen? Sorry, maar dat is echt te lang, zelfs al was het niet zo lek als een mandje.
03-02-2013, 10:05 door Anoniem
Door WesleySmalls: Waarom met Java, welke nu nogal lek blijkt te zijn maar elk kwartaal een update uitbrengen? Sorry, maar dat is echt te lang, zelfs al was het niet zo lek als een mandje.

Als het niet lek was, dan is 1x per kwartaal ruim voldoende.
03-02-2013, 13:05 door Anoniem
Het is zelfs nog erger WesleySmalls, want standaard checkt Java 1 keer in de maand op updates ...
03-02-2013, 14:05 door Anoniem
Tja dan zal er morgen weer een lek worden ondekt,het gaat maar door met java helaas.
04-02-2013, 13:24 door [Account Verwijderd]
[Verwijderd]
04-02-2013, 21:53 door Anoniem
Issue 51 heeft nog steeds de status: UNDISCLOSED

http://www.security-explorations.com/materials/SE-2012-01-ORACLE-8.pdf

Security Explorations discovered two security vulnerabilities in Java SE Platform, Standard Edition. They are similar to the weaknesses discussed in our previous reports (problems with xxxxxxxxxxxxxxxx and Reflection API).
05-02-2013, 16:55 door Mysterio
Door Anoniem: Dit heeft toch geen zin meer ik denk dat half miljoen nederlanders java er inmiddels wel eraf heeft gehaald ik heb nu een week geen java meer en merk niks verschillends
Als je niets merkt... heb je het dan wel goed gedaan?
10-02-2013, 18:39 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.