Nieuws

Meeste bedrijfsnetwerken vol Java-lekken

donderdag 18 juli 2013, 14:01 door Redactie, 7 reacties

Ongepatchte Java-versies zijn al geruime tijd de voornaamste oorzaak dat computers met malware geïnfecteerd raken, toch blijken nog altijd zeer veel bedrijven Java-updates niet te installeren. Beveiligingsbedrijf Bit9 publiceerde vandaag een rapport gebaseerd op 1 miljoen onderzochte bedrijfscomputers. Daaruit kwam naar voren dat 82% het niet meer ondersteunde Java 6 gebruikt.

Deze Java-versie wordt sinds april van dit jaar niet meer door Oracle ondersteund. Alleen klanten met speciale ondersteuningscontracten ontvangen voor Java 6 nog beveiligingsupdates. De meeste bedrijven die Java 6 geïnstalleerd hebben draaien daarnaast niet de laatste versie. De zwaar verouderde Java 6 Update 20 is met 9% de populairste versie.

Updaten
Deze versie beschikt over 215 lekken, waarvan er 96 zo ernstig zijn dat ze de maximale score hebben die kwetsbaarheden kunnen krijgen. Java 7, de nieuwste versie, was op 15% van de 'endpoints' geïnstalleerd. En ook hier lopen bedrijven gigantisch achter met patchen. Slechts 3% had de meest recente Java 7-versie uitgerold.

Uiteindelijk blijkt dat 93% van de onderzochte bedrijven een Java-versie draaien die tenminste 5 jaar oud is. Bij 51% is de versie zelfs tussen de 5 en 10 jaar oud. Slechts zeven procent heeft een versie die jonger dan 5 jaar is. Een ander probleem is de aanwezigheid van meerdere Java-versie.

Zo'n 65% van de bedrijven had meer dan twee Java-versies geïnstalleerd, en op zo'n 20% van de computers werden zelfs meer dan drie versies aangetroffen. Bij 5% van de bedrijven werden meer dan 100 verschillende Java-versies aangetroffen. "Java is het grootste veiligheidsprobleem waar bedrijven vandaag de dag mee te hebben", aldus Bit9.

Opstelten wil dat alle EU-landen gaan terughacken

Minister: ambtenaren niet bewust van spionage

Reacties (7)

18-07-2013, 19:37 door Anoniem

Veel aandacht in het artikel voor getallen.
Dat is mijns inziens wat ten koste gegaan van een simpele concrete illustratie van de echte essentie van het probleem.
Namelijk dat als je oudere java versies niet verwijdert je de kans loopt dat malware specifiek een aanwezige oudere en kwetsbare java versie aanroept.
Mooi voorbeeld in securityweek-artikel, aan de java experts te beoordelen of de vergelijking opgaat;

People don't expect that a malicious Word document would open in Word 97 instead of Word 2007, if that was installed

Yet that is exactly what happens with Java.

Het beschikken van oudere java versies naast nieuwere (al dan niet geupdate ) versies maken 'het geheel' zo sterk als de zwakste schakel (niet verwijderde oude java versies).

18-07-2013, 21:01 door Briolet

Het is niet juist dat Java 6 helemaal niet meer ondersteunt wordt. Met elke Java 7 update komt er nog een Java 6 update uit waar dezelfde bugs in gepatched zijn. Een paar week gelden is mijn Java nog naar update 51 gebracht via de update functie op al mijn Macs. Het kan wel zo zijn dat Oracle gestopt is deze versies zelf uit te geven en versie 48 de laatste is die Oracle zelf beschikbaar stelt.

Ik heb echter één applicatie waar ik niet zonder kan, die Java vereist en die draait nog steeds niet met Java 7 (Ik ben dus met een beetje moeite weer van 7 naar 6 terug gegaan)

Het artikel geeft niet aan of er macs in de telling meegenomen zijn, omdat daar standaard nog steeds versie 6 geupdate wordt.

18-07-2013, 21:24 door Anoniem

@Briolet,
Grappig, ik dacht hetzelfde en kwam daar ook niet achter, reden om dan een ander belangrijk punt te maken hierboven.
SecurityWeek schrijft af en toe wel over Apple dus zou je verwachten dat Mac systemen wel zijn meegenomen of dat daar aandacht voor is.
Evengoed verwacht ik niet dat het aandeel Mac's erg groot is in het bedrijfsleven ten opzichte van Pc gebruik, wat niet wegneemt dat Mac users ook beter oude java versies kunnen verwijderen of locken (versie 5 of zelfs 4), afhankelijk van het gebruikte Os X.

Ben zeer benieuwd wat die ene Mac-applicatie dan is die Java nodig heeft, applicatie in het kader van webdesign (tbv uploaden etc.) of iets hardware gerelateerd als bijv. een scsi kaart?

Je andere Mac punt (java script uitschakelen) onder artikel, security.nl/artikel/47063/1/FBI_ransomware_valt_Mac-gebruikers_aan.html vond ik ook goed gevonden overigens.

19-07-2013, 05:00 door Hans_US

Dit verbaast me niets, hoeveel enterprise applicaties (zoals SAP, Netweaver etc) eisen Java 6 voor installatie?

19-07-2013, 13:02 door [Account Verwijderd]

[Verwijderd]

19-07-2013, 13:05 door Skizmo

Word java nog steeds gebruikt ?

06-08-2013, 13:43 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer