Nieuws
image

Sun patcht 12 zeer ernstige Java-lekken

woensdag 4 november 2009, 12:32 door Redactie, 6 reacties

Sun heeft een zeer belangrijke update voor Java uitgebracht, de software die op bijna alle computers ter wereld aanwezig is. In totaal gaat het om twaalf beveiligingslekken die een aanvaller in het ergste geval volledige controle over een kwetsbaar systeem geven. De kwetsbaarheden zijn via drive-by download aanvallen te misbruiken. De grootste problemen doen zich voor bij het verwerken van audio en afbeeldingen, waardoor een Java Web Start applicatie zijn rechten kan verhogen, om vervolgens lokale bestanden en applicaties met dezelfde rechten als de ingelogde gebruiker te openen en schrijven.

Een andere kwetsbaarheid zorgde ervoor dat het Java Update mechanisme op niet Engelstalige Windows versies niet werkte. Zodra er een nieuwere Java Runtime Environment (JRE) versie beschikbaar was, werden gebruikers niet gewaarschuwd. Daarnaast is er ook een lek dat voor een Denial of Service kan zorgen. De meeste kwetsbaarheden kreeg Sun via het Tippingpoint Zero Day Initiative en het iDefense VCP programma te horen. Voor de onderstaande versies is er een update verschenen, die via Java.com is te downloaden. Update 22 voor JDK en JRE 5 is de laatste update, aangezien Sun deze versie van de software niet ondersteunt.

  • JDK and JRE 6 Update 17
  • JDK en JRE 5.0 Update 22
  • SDK en JRE 1.4.2_24
  • SDK en JRE 1.3.1_27
Reacties (6)
04-11-2009, 12:54 door Anoniem
En hoe staat het met OpenJDK? Deze wordt steeds vaker meegeleverd ipv Sun Java.
04-11-2009, 14:24 door spatieman
das een goede vraag.
security.nl geef daar ees antwoord op?
04-11-2009, 17:06 door Anoniem
JRE 6 Update 16 zei op mijn PC zelf nog dat de laatste versie erop stond(op andere PC niet) en na de installatie gaf Secunia PSI nog steeds aan dat 1 van de 2 java exe's lek was en dat ik 'm eraf moest gooien, en daarna weer Update 17 erop zetten. Sun moet ook eens aan de update functie werken, wat heeft het voor zin om naar de nieuwe versie zonder lekken te updaten als ie tijdens de update oude lekke bestanden gewoon laat staan :S
04-11-2009, 20:22 door Spiff has left the building
Door Anoniem, 17:06: na de installatie gaf Secunia PSI nog steeds aan dat 1 van de 2 java exe's lek was
Klopt, de standaard-update laat te vaak steken vallen. Een uitvoerige update-procedure is naar mijn ervaring nog steeds het beste, net zoals dat ook geldt voor Adobe Flash Player.
Met Windows en IE8 wordt dat dan zoiets:
1. IE8 \ Extra \ Invoegtoepassingen beheren \ Weergeven: Alle invoegtoepassingen \ Alle Sun Microsystems invoegtoepassingen uitschakelen,
dat is onder Vista en wellicht ook Windows 7 mogelijk voor alle accounts apart nodig,
voor zowel standaardgebruiker-account(s) als voor het administrator-account.
Ik twijfel of ik nu al een keer heb gecheckt of het uitschakelen van de invoegtoepassingen alleen via het administrator-account nou wel of niet effectief is onder Vista.
2. Sun Java JRE verwijderen.
3. Reboot.
4. Checken op restjes.
5. Nieuwe versie van Sun Java JRE installeren.
6. Alle Sun Microsystems invoegtoepassingen weer inschakelen, zowel voor administrator als zo nodig ook voor de standaardgebruiker-account(s).
05-11-2009, 11:03 door Anoniem
Ik gebruik altijd http://raproducts.org/ om oude versies te verwijderen.
Werkt prima.
05-11-2009, 16:43 door Anoniem
jammer dat er voor firefox nou weer ongevraagd een quick starter addon wordt geinstalleerd. Met alleen maar een disable mogelijkheid. En spybot S&D ging hier mekkeren over eZula hottext, waarna ik de update vernaggelde. Ben nog wel even bezig geweest om java weer aan de praat te krijgen, want als je em deinstalleert gooit ie niet zijn files en folders weg, dat mocht ik dan handmatig nog doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure