Apple blokkeert onveilige Java-versies op OS X
Apple heeft de in Mac OS X ingebouwde virusscanner van een update voorzien waardoor onveilige versies van de Java browserplug-in worden geblokkeerd, waarschijnlijk na berichten van nieuwe aanvallen op recent gepatchte lekken in Java 6. Het gaat om twee kwetsbaarheden die zowel in Java 6 als Java 7 aanwezig zijn. Oracle patchte de problemen in Java 7 via een beveiligingsupdate. Voor consumenten op Windows met Java 6 verscheen echter geen update, omdat Oracle deze versie niet meer ondersteunt. Alleen voor bedrijven met speciale onderhoudscontracten worden nog updates uitgebracht.
Op Mac OS X Snow Leopard verzorgt Apple zelf de Java-updates. Om ervoor te zorgen dat gebruikers die nog niet zijn geüpdatet geen risico lopen, is de ingebouwde virusscanner XProtect van een update voorzien. Op Snow Leopard is nu de minimale vereiste Java-versie Java 6 Update 51. Oudere versies zal het besturingssysteem nu blokkeren.
Exploits
Vanaf Mac OS X Lion besloot Apple Java niet meer standaard met het besturingssysteem te bundelen. Toch beschermt het ook gebruikers van deze platformen. Voor Mac OS X Lion en Mountain Lion is 14.8.0 de minimale vereiste versie van de Java browserplug-in. Deze versie komt overeen met Java 7 Update 25.
Volgens beveiligingsbedrijf Intego heeft de update waarschijnlijk te maken met berichten dat exploits voor de Java-lekken in de Neutrino-exploitkit zijn verschenen. Dat zou het eenvoudiger maken om ongepatchte Mac- en Windowsgebruikers aan te vallen, hoewel de nu verschenen exploits alleen op Windowsgebruikers zijn gericht.
Apple adviseert gebruikers
Deze week publiceerde Apple een waarschuwing voor Macgebruikers dat er nieuwe Java-versies beschikbaar zijn In de waarschuwing adviseert Apple ook om de browserplug-in alleen in te schakelen op het moment dat die nodig is. Op dat moment moet de gebruiker geen andere websites openen. Zodra de activiteit waarvoor de Java plug-in is vereist is voltooid, kan die worden uitgeschakeld en is het weer veilig om andere websites te bezoeken.
Update
De updates die Apple voor Java uitbracht dateren van juni. Deze week werd echter pas besloten om de oudere versies te blokkeren, zo blijkt uit dit bericht van Apple zelf.
http://support.apple.com/kb/DL1572
De blokkade van oudere Java versies via de ingebouwde beveiliging was een paar dagen eerder, als ik het me nog goed herinner.
Ook klopt het niet dat deze update niet naar Lion en nieuwer gaat. Ook die worden nog steeds met Java 6 geupdate. Alleen wordt Java 6 niet meer standaard door de browser gebruikt op deze systemen. Apple heeft echter ook een patch gepubliceerd waardoor je toch Java 6 in je browser kunt gebruiken. (Ik heb een Java applicatie die niet samenwerkt met Java 7).
Edit: Ik zie nu dat de info uit de laatste link in het artikel komt. Dat is info van Apple zelf. Toch vreemd dat daar staat dat Snow Leopard de update feature moet gebruiken, maar er bij mij niets gebeurd. Ook op de download site van Apple staan geen nieuwe security updates. Kan het niet zijn dat dit alleen om een Java 7 update gaat?
Testje onder OSX 10.6, door Apple geadviseerde software update vanuit het update menu draaien levert geen beschikbare software update op.
Dat is meer mensen opgevallen zie ik :
"Apple Revised OS X Java Support Docs:"
http://www.xlr8yourmac.com/archives/aug13/082813.html
Dus update is al maanden beschikbaar?
Lijkt er wel op, dat is dan bijvoorbeeld de Java Mac OS X 10.6 update 16.0 (versie 6 - 1.6.0_51-b11-457) en is al van medio juni 2013.
Xprotect.plist geupdated dan?
Zoek het file zelf maar een op en kijk naar de create / modify date (System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist)
Op een Snow Leopardje hier betreft dat mei 2013 (& alle updates binnengehaald).
Wat dan ???
Intego,...
Wat zou J.L. bedoelen?
Voor de weet ; weze schrijver adviseert trouwens het draaien van Windows of Ubuntu als je Mac geen Lion of Mountain Lion kan draaien.
http://www.intego.com/mac-security-blog/what-to-do-if-your-mac-cant-run-mountain-lion/
Genoeg gebruikers ook hier die weten dat dat een wat vreemd, onnodig en weinig realistisch advies is.
& Deze info was (hoewel nuttig, een andere schrijver) ook al wat gedateerd : http://www.intego.com/mac-security-blog/nsa-tips-for-hardening-macs/
...
Kan het niet zijn dat dit alleen om een Java 7 update gaat?
- Van Intego.., ja ook dit lijkt oud nieuws
- Nee dit zou dan niet de Java versie 7-25 moeten betreffen. Die release was er ook al enige tijd.
(reactie met vermoedelijke oorzaak en uitleg op artikel onderweg maar nog niet geplaatst, misschien vergeten cookie melding te accepteren, dan plaats ik hem alsnog na deze reactie).
Hier alvast/nogmaals de eerder opgegeven link :
"Apple Revised OS X Java Support Docs:"
http://www.xlr8yourmac.com/archives/aug13/082813.html
& kijk zelf maar bij deze links:
(+ wat andere handige links)
Java version history
http://javatester.org/version.html
http://en.wikipedia.org/wiki/Java_version_history
Java/Oracle en Mac
http://www.java.com/en/download/faq/java_mac.xml
met de linktekst, "» Download latest Java " en de link daarnaar :
http://www.java.com/en/download/index.jsp
Apple Security Updates page
http://support.apple.com/kb/HT1222
Standalone Downloads zoeken voor de Mac
http://support.apple.com/downloads/
Mac OS X Security Configuration Guides
https://ssl.apple.com/support/security/guides/
Algemeen
https://ssl.apple.com/osx/what-is/security.html
De updates die Apple voor Java uitbracht dateren van juni. Deze week werd echter pas besloten om de oudere versies te blokkeren, zo blijkt uit dit bericht van Apple zelf.
Ik zie ècht geen verschil, pagina info (support.apple.com) van beide Java Updates (apart voor Lion/Mountain Lion en Snow Leopard) vermelden een bijwerkdatum van 18 juni 2013 .
En de pkg's in de dmg's dateren van 21 juni 2013.
Lion / Mountain Lion
http://support.apple.com/kb/DL1572
http://support.apple.com/downloads/DL1572/en_US/JavaForOSX2013-004.dmg
Snow Leopard
http://support.apple.com/kb/DL1573
http://support.apple.com/downloads/DL1573/en_US/JavaForMacOSX10.6.Update16.dmg
Een re-install van één van de Java updates levert geen (gevonden) veranderingen op; alhoewel in het Software update paneel nu achter de installatie onder de version info de versie niet meer staat ( maar het staat ook in de naam van de update).
Gekeken naar het XProtect.plist file blijft de create/modify datum ongewijzigd.
Op welke wijze komt deze aangekondigde aanvullende update / wijziging dan op je Mac terecht (via welke update)?
...?
Zoek het file zelf maar een op en kijk naar de create / modify date (System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist)
Op een Snow Leopardje hier betreft dat mei 2013 (& alle updates binnengehaald)./
Die file was bij mij i.d.d wel op 29 augustus geupdate. Dit betreft zowel de modification date als de expliciete timestamp die Apple in de plist gezet heeft.
Dit is zowel op mijn 10.6 als mijn 10.8 computer gebeurd. Echter, betreffende Java 6 lees ik op beide computers:
<string>1.6.0_45-b06-451</string>
<key>LastModification</key>
<string>Thu, 29 Aug 2013 02:47:15 GMT</string>
Had dat dan niet 1.6.0_51 moeten zijn?
In elk geval staat er bij mij geen Java 7 op mijn Mountain Lion systeem en met Safari kan ik nog steeds via Java 6 update 51 mijn Java applicatie gebruiken.
van Apple developer,
Alle Apple Java versies op een rij.
https://developer.apple.com/library/mac/technotes/tn2002/tn2110.html
@ Briolet,
Ik zal er nog wat eens gedachten over laten gaan.
Testje onder OSX 10.6, door Apple geadviseerde software update vanuit het update menu draaien levert geen beschikbare software update op.
Dat is meer mensen opgevallen zie ik :
"Apple Revised OS X Java Support Docs:"
http://www.xlr8yourmac.com/archives/aug13/082813.html
Dus update is al maanden beschikbaar?
Lijkt er wel op, dat is dan bijvoorbeeld de Java Mac OS X 10.6 update 16.0 (versie 6 - 1.6.0_51-b11-457) en is al van medio juni 2013.
Xprotect.plist geupdated dan?
Zoek het file zelf maar een op en kijk naar de create / modify date (System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist)
Op een Snow Leopardje hier betreft dat mei 2013 (& alle updates binnengehaald).
Wat dan ???
Intego,...
Wat zou J.L. bedoelen?
Voor de weet ; weze schrijver adviseert trouwens het draaien van Windows of Ubuntu als je Mac geen Lion of Mountain Lion kan draaien.
http://www.intego.com/mac-security-blog/what-to-do-if-your-mac-cant-run-mountain-lion/
Genoeg gebruikers ook hier die weten dat dat een wat vreemd, onnodig en weinig realistisch advies is.
& Deze info was (hoewel nuttig, een andere schrijver) ook al wat gedateerd : http://www.intego.com/mac-security-blog/nsa-tips-for-hardening-macs/
Het zou de leesbaarheid ten goede kunnen komen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
