Sun dicht ernstig Microsoft-lek in Java
Sun heeft een belangrijke update voor honderden miljoenen Java-gebruikers uitgebracht die zeven ernstige lekken verhelpt, waaronder eentje die door Microsoft was veroorzaakt. Vanwege de kwetsbaarheden in de Microsoft Active Template Library (ATL) moest de softwaregigant zelf met een noodpatch komen. Een aantal dagen later werd duidelijk dat de lekke ATL-code ook door Adobe werd gebruikt, wat ervoor zorgde dat gebruikers wederom moesten patchen. En nu is het ook raak met Sun's Java. Samen met Flash en Windows behoort Java tot de meest gebruikte software ter wereld.
Het probleem zit in het Java Web Start ActiveX control, dat gebruikt wordt om Java Web Start in Internet Explorer te laden. Via een drive-by download zou een aanvaller bij IE-gebruikers willekeurige code op het systeem kunnen installeren. De andere lekken maken het mogelijk om kwaadaardige code te installeren of informatie te stelen. Oorspronkelijk zouden er 8 lekken worden gedicht, zoals in de aankondiging van Sun is te vinden, maar volgens de advisory zijn het er uiteindelijk 7 geworden.
Na notificatie van de nieuwe update is door middel van de Update-optie in het Java Control Panel te updaten naar de nieuwste versie (dit vanaf administrator-niveau, uiteraard).
Hierbij werden, voor zover ik tot nu toe kan overzien, geen belangrijke restanten achtergelaten van de oude versie. Ook de Sun Java invoegtoepassingen in IE8 werden netjes vernieuwd, zonder die eerst te moeten uitschakelen.
Onlangs met de update van Adobe Flash Player waren daarvoor extra handelingen nodig,
zie: http://www.security.nl/artikel/30506/1/Flash_ook_lek_in_ActiveX_control.html
En ik was ook niet zozeer optimistisch, hoor.
Ik gaf eigenlijk alleen aan dat dat update-mechanisme nu voor mij had gewerkt.
Duidelijk is, dat dat jammer genoeg nog steeds niet in alle situaties geldt.
Het blijft dus opletten, en, in alle gevallen dat dat nodig is, zelf verwijderen, downloaden en installeren.
Een enkele prehistorische koersen of fotobestel-site misschien. Voor mij dan ook geen risico's en een traag ladende pagina.
Niet de site natuurlijk, maar het office-programma.
Gecontroleerd: Java Version 6 Update 15 (build 1.6.0_15-b03).
Op mijn eigen spullen zet ik overigens de auto-update uit, want al die dingetjes bij elkaar kijken sowieso of ze moeten updaten, -& als het dan tijd is- of er updates zijn & vaak zijn die er dan nog niet, maar slaat bij mij wel lichtelijk de paniek toe omdat ik merk dat de computer wat trager reageert.
Wat betreft Java heb ik verder niet zo'n probleem om het met de hand te doen via http://www.java.com/en/, Engels of http://www.java.com/nl/, Nederlands. Gaat erg netjes.
Hier kan je Java trouwens controleren, nl-versie: http://www.java.com/nl/download/installed.jsp.
Op server-achtigen zie je na voltooing een geanimeerd poppetje op de pagina, & die reageert als je op zijn rode neus probeert te klikken. LOL!.. Kan het niet laten, hihi...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
