Nieuws
image

Java ondermijnt veiligheid internet

zondag 2 mei 2010, 08:09 door Redactie, 21 reacties

Het aantal beveiligingslekken in Java is vorig jaar verdubbeld en dit jaar lijkt het nog erger te worden, wat een probleem is, aangezien Java op bijna alle computers aanwezig is. Volgens Symantec zijn Java-lekken ideaal voor aanvallers, omdat het vaak om logische fouten gaat. Ze zijn niet afhankelijk van geheugencorruptie, waardoor de exploits extreem betrouwbaar zijn en geen beveiliging hoeven te omzeilen. Maatregelen zoals ASLR en DEP bieden geen bescherming, wat ook geldt voor de sandbox van Google Chrome en de Protected Mode van Internet Explorer.

"Dit zijn ontwerpfouten die beperkte Java code de Java security sandbox laten ontsnappen en in dezelfde omgeving uitvoeren waar ze voor ontworpen waren, alleen dan met volledige privileges", zegt Symantec's Adrian Pisarczyk.

Uitschakelen
Een ander probleem met Java is dat het platform en browser onafhankelijk is. Dat verklaart volgens Pisarczyk de populariteit van de technologie bij academici en opensource gemeenschappen, maar maakt het ook interessant voor aanvallers. "De aard van deze problemen maakt detectie lastig. De exploit en lading worden in gecompileerde byte code geleverd, waarvan het parsen meestal buiten de mogelijkheden van beveiligingssoftware ligt."

De virusbestrijder bekritiseert ook de patchprocedure van Oracle, die te wensen overlaat. Gebruikers en bedrijven die Java niet nodig hebben, doen er dan ook verstandig aan om het uit te schakelen. Symantec verwacht in de toekomst namelijk nog veel meer aanvallen die van Java misbruik maken.

Reacties (21)
02-05-2010, 09:53 door [Account Verwijderd]
[Verwijderd]
02-05-2010, 10:14 door Anoniem
Steeds weer paniekberichten van zogenaamde beveiligingsbedrijven. Volgens Symantec zou OS/X inmiddels ook al lang bezweken zijn onder de malware-golf. Ook grote onzin en loze paniek. Symantec vergeet dat het internet ook al decennia lang Windows heeft overleefd. Internet zal Java dan zeker ook wel overleven.
Laat die lui eerst eens zorgen dat hun eigen software niet de systemen sloopt die het zou moeten beveiligen.
02-05-2010, 10:57 door [Account Verwijderd]
[Verwijderd]
02-05-2010, 11:17 door Anoniem
Vorige week Java verwijderd. Nog geen enkele keer nodig gehad. Ook niet met Open Office. Als een website niet werkt zonder Java, heeft die site pech gehad.
02-05-2010, 11:37 door Anoniem
Sinds Oracle Sun heeft overgenomen is de toekomst van java zeer zwartkleurig geworden, de snelheid van de patches toont nog maar eens aan hoeveel goede kanten van Sun verloren zijn gegaan aan een onnodige fusie !
02-05-2010, 12:27 door [Account Verwijderd]
[Verwijderd]
02-05-2010, 12:41 door Anoniem
Lang leven PYTHON!
02-05-2010, 12:58 door [Account Verwijderd]
[Verwijderd]
02-05-2010, 13:33 door Anoniem
Dus een module waar de gebruiker zich op inplugged en die dan op zijn beurt inplugged op de PC, waar hij/zij een elektroshock krijgt als hij/zij het nalaat de pc up te graden of te scannen op malafide toestanden of naar idiote websites te surfen. Doet hij/zij het niet: suspended!
Een leuke optie dacht ik niet?

Op op het artikel te reageren, ik mijd java als de pest.
02-05-2010, 17:17 door spatieman
java uitschakelen?
dan werken 95% van de sites niet meer..
02-05-2010, 18:52 door Anoniem
Door spatieman: java uitschakelen?
dan werken 95% van de sites niet meer..

Wellicht een idee om ook eens wat modernere websites te bezoeken? ;)
java != javascript ...
02-05-2010, 19:05 door Spiff has left the building
Wat zit je nou te gallen, spatieman?
Het zal eerder andersom zijn: op minstens 95 procent van de sites mis je Java niet.

Half april heb ik Java JRE verwijderd en ik ben sindsdien pas twee sites tegengekomen die melding maakten van het ontbreken van Java. Op de ene merkte ik niks van ontbrekende functionaliteit. De andere was de Online Scanner pagina van F-Secure, daarop krijg je dan de melding dat Java benodigd is voor de scanner. Wanneer iemand per se die scanner wil gebruiken dan moet eerst Java geïnstalleerd worden. Verder ben ik nog niks belangrijks tegengekomen.
Jij wel? Vertel eens dan.
02-05-2010, 23:44 door [Account Verwijderd]
Door spatieman: java uitschakelen?
dan werken 95% van de sites niet meer..

Nee dat was Flash...
03-05-2010, 08:45 door Anoniem
Goh worden we wakker.

ik was al wakker hoor
03-05-2010, 09:48 door CCAMSTELVEEN
Nu is het Java die de kop op steekt hiervoor was het IE en daarvoor weer een ander stukje software. Het is inderdaad zeer belangrijk als afhankelijke gebruiker dat je op de hoogte bent van wat er speelt en wat er aan gedaan kan worden. In dit geval dus het verwijderen van bv Java.

Jammer alleen dat de meeste mensen gebruikers zijn en niet eens weten wat er speelt. Voor die mensen is het handig om een service contract te hebben bij een goed ict bedrijf die hun helpt de pc zo goed mogelijk te beveiligen door het jaar heen en hen regelmatig te informeren over de huidige gevaren op het internet.
03-05-2010, 10:25 door Spiff has left the building
Door CCAMSTELVEEN: Jammer alleen dat de meeste mensen gebruikers zijn en niet eens weten wat er speelt. Voor die mensen is het handig om een service contract te hebben bij een goed ict bedrijf die hun helpt de pc zo goed mogelijk te beveiligen door het jaar heen en hen regelmatig te informeren over de huidige gevaren op het internet.
Zoals CC Amstelveen, bedoel je?
Beetje fout wel, dit soort boodschappen door een ict bedrijf.
03-05-2010, 16:12 door Bert de Beveiliger
Door Anoniem: Sinds Oracle Sun heeft overgenomen is de toekomst van java zeer zwartkleurig geworden, de snelheid van de patches toont nog maar eens aan hoeveel goede kanten van Sun verloren zijn gegaan aan een onnodige fusie !

Uh. Ze hadden het koud in de zak en hop, daar was update 20. Niet waar dus.
03-05-2010, 16:15 door Bert de Beveiliger
De exploit en lading worden in gecompileerde byte code geleverd, waarvan het parsen meestal buiten de mogelijkheden van beveiligingssoftware ligt."

Dat zouden ze kunnen opvangen door een eigen JRE te gaan voeren waarover de antivirus engine _wel_ controle heeft.
Nu Java Open Source is geworden, moet dat toch te doen zijn.
03-05-2010, 17:09 door Anoniem
Dit soort beweringen zijn altijd zo vaag. Wat bedoelen ze nou precies, lekken in de Java Virtual Machine waarmee je code uit kunt voeren op het systeem van een gebruiker die een 'evil' applet opent in zijn browser ofzo? Ten eerste heeft elk OS een andere JVM, waarschijnlijk werken meeste lekken maar in één JVM aangezien elke JVM heel anders communiceert met het onderliggende systeem.

Of gaat dit over dat lek in Java web start, de manier om een java applicatie vanaf het web te starten? Dat is namelijk vergelijkbaar met een .exe bestand downloaden en openen. En dan nog kan de Java applicatie alleen gevaarlijk worden als je Java versie niet up to date gepatched is. (dat is geen applet wat in je webpagina draait, je krijgt een duidelijk open/opslaan dialoog en als er Unknown publisher staat heeft de maker ervan geen geldig certificaat en kan je je dus afvragen of je het moet vertrouwen)
04-05-2010, 09:46 door Anoniem
Java populair bij opensource gemeenschappen? Ik zie iedereen juist alles gebruiken behalve java. Java is vooral populair bij bedrijven.
05-05-2010, 10:52 door Anoniem
Beiden: er zijn hele grote opensource gemeenschappen rondom Java (veel groter dan bij .net) en ook binnen bedrijven wordt het veel gebruikt (ING/postbank - Staatsloterij - etc) al dan niet zichtbaar voor 'ons'.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure