image

Anti-virusbedrijf luidt noodklok over Java-aanvallen

zaterdag 14 september 2013, 06:49 door Redactie, 9 reacties

De afgelopen maanden hebben er twee ontwikkelingen plaatsgevonden waardoor de veiligheidssituatie rondom Java stilletjes veel erger is geworden. De browserplug-in is al geruime tijd het favoriete doelwit van cybercriminelen die ongepatchte gebruikers aanvallen en vervolgens met malware infecteren.

Voor Windowsgebruikers met Java 6 verschijnen er geen beveiligingsupdates meer, terwijl zich in de allerlaatste versie twee kwetsbaarheden bevinden die actief worden aangevallen. Aangezien deze gebruikers geen patches meer ontvangen, lopen ze groot risico. In eerste instantie werd gesteld dat 21% van de Java-gebruikers nog met Java 6 werkte. Volgens hostingplatform Jelastic, dat woensdag nieuwe cijfers publiceerde, is het aandeel inmiddels naar de 12% gedaald.

Het Japanse anti-virusbedrijf Trend Micro stelt dat nog meer dan de helft van alle Java-gebruikers versie 6 gebruikt. "Dat maakt dit een ongekende situatie", zegt Christopher Budd. Zelfs bij Windows is het nog nooit voorgekomen dat de ondersteuning stopte terwijl meer dan 50% van de gebruikers de niet meer ondersteunde versie gebruikte.

Slimmere aanvallen

Het andere probleem waarvoor Budd waarschuwt zijn aanvallen tegen de Java Native-laag. Dit duidt erop dat aanvallers steeds slimmer worden in het aanvallen van Java. Aanvallen tegen lagere Java-lagen zijn lastiger af te weren en hebben een grotere impact op het aangevallen systeem.

"De toenemende verfijning van deze aanvallen laten ons zien dat aanvallers zeer comfortabel en bekend zijn met Java als een platform om aan te vallen." Budd adviseert gebruikers om alleen de laatste ondersteunde Java-versie te gebruiken en als de software niet noodzakelijk is, die te verwijderen.

Perfecte storm

De grootste zorgen heeft Budd voor volgend jaar, als ook Windows XP niet meer wordt ondersteund. "Er zijn echte zorgen dat Java 6 en Windows XP samen voor een perfecte storm van permanent kwetsbare systemen kunnen zorgen." De zomer volgend jaar kan dan ook heel slecht voor anti-virusbedrijven en internetgebruikers worden en heel goed voor cybercriminelen, besluit de virusbestrijder.

Image

Java security model
Reacties (9)
14-09-2013, 08:02 door schele
Kunnen ze dit niet ook even op het 20.00uur journaal brengen? Gezien de hoeveelheid XP die ik nog om me heen zie vind ik dat net zo'n probleem als andere dagelijks leven risico's die wel overal te horen zijn.
14-09-2013, 11:29 door Preddie
Door schele: Kunnen ze dit niet ook even op het 20.00uur journaal brengen? Gezien de hoeveelheid XP die ik nog om me heen zie vind ik dat net zo'n probleem als andere dagelijks leven risico's die wel overal te horen zijn.

Sorry man, maar het nieuws van vandaag is vorige week al vastgesteld, een bom aanslag in het midden-oosten, geruzie over gifgas wapens, weer wat foute en onzinnige plannen van het kabinet, een deprimerend bericht over de economie ... enuh, ohja als je naar SBS6 kijkt nog een item over een dode konijn van de kinderen van meneer wieringa ...... dus geen tijd voor een item over rocketscience achtige computercodes met woorden als updates en patches.... ;)
14-09-2013, 11:32 door Anoniem
Bedrijven en consumenten moeten zo snel mogelijk overstappen naar de nieuwste Java. Ook al gaat dat zeer lastig.
Oracle de schuld geven vind ik een stapje te ver gaan.
14-09-2013, 11:44 door Briolet
Misschien moeten de browser makers actie ondernemen. Safari op de mac, schakelt Java automatisch uit als het een paar week niet gebruikt wordt. En bijna niemand heeft het nodig, dus daar blijft het dan ook uit. En verder moet je voor elke nieuwe site toestemming geven om Java op die site te gebruiken.
14-09-2013, 12:12 door Anoniem
Ook moet eens duidelijk uitgelegd worden (op het 8 uur journaal?) dat Java niet hetzelfde is als JavaScript. Ik ken een computer "goeroe" die zijn klanten afraadt Java te verwijderen omdat hij denkt dat dan vrijwel geen website meer werkt (en hij wou mij niet geloven toen ik hem zei dat hij in de war was met JavaScript).
14-09-2013, 14:10 door Anoniem
Door Anoniem: Bedrijven en consumenten moeten zo snel mogelijk overstappen naar de nieuwste Java. Ook al gaat dat zeer lastig.
Oracle de schuld geven vind ik een stapje te ver gaan.
Oracle heeft bewust de ondersteuning gestopt van een product dat veelvuldig wordt gebruikt, en waarvan Oracle heel goed weet dat een hoop (zakelijke) gebruikers niet zonder meer over kunnen stappen op korte termijn, louter uit commerciële overwegingen.

Ik vind dan ook dat enkel Oracle blaam treft, en helemaal niemand anders.
14-09-2013, 14:34 door 0101 - Bijgewerkt: 14-09-2013, 14:35
@Briolet
Firefox blokkeert oude Java, Chrome vereist het handmatig inschakelen van Java per website. Browsermakers hebben niet stilgezeten. Van de Grote Vier blijft alleen Internet Explorer (zoals te doen gebruikelijk) achter.
14-09-2013, 16:02 door Anoniem
Door Anoniem: Bedrijven en consumenten moeten zo snel mogelijk overstappen naar de nieuwste Java. Ook al gaat dat zeer lastig.
Oracle de schuld geven vind ik een stapje te ver gaan.

Applicaties die door Oracle zelf worden uitgebracht beginnen nu langzaam (maar zeker?) Java 7 te ondersteunen. Ze garanderen dat bij "Oracle Applicaties" nog niet eens.

De situatie bij ons is gelukkig dat we op alle machine, waar het Java nodig is, Java 7 hebben uitgerold. Op enkele systemen draait nog Java 6. In alle gevallen staan de machines echter zo ingesteld dat Java alleen gebruikt kan worden door goedgekeurde applicaties op ons netwerk.

Verder zeggen we tegen Oracle "stik maar met jullie gegarandeerde ondersteuning". Zodra Java 7 ook naar tevredenheid met Oracle Applications draait, wachten we niet meer op de goedkeuring van Oracle om een nieuwe Java update uit te rollen. Na het uitbrengen en na packaging wordt het de volgende dat uitgerold.

Peter
15-09-2013, 11:02 door [Account Verwijderd] - Bijgewerkt: 15-09-2013, 11:03
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.