Nieuws

Oracle monsterpatch mist ernstig Java-lek

woensdag 17 oktober 2012, 17:02 door Redactie, 11 reacties

Oracle heeft gisteren een belangrijke update voor Java uitgebracht die in totaal 30 beveiligingslekken verhelpt, maar een ernstige kwetsbaarheid wordt pas in februari 2013 gepatcht. Dat zegt de Poolse beveiligingsonderzoeker Adam Gowdiak van het bedrijf Security Explorations tegenover Security.nl. De update van Oracle verhelpt wel 19 beveiligingslekken die Security Explorations eerder aan Oracle rapporteerde.

Via deze kwetsbaarheden kan een aanvaller uit de Java-sandbox breken om het onderliggende systeem over te nemen. Het gaat hier onder andere om de kwetsbaarheid die in een noodpatch voor een ander ernstig Java-lek werd ontdekt.

Februari
"Hoewel Oracle's update van oktober veel ernstige kwetsbaarheden in de software verhelpt, bevat het geen fix voor een ernstig beveiligingslek dat in alle Java SE versies, 5, 6 en 7, aanwezig is", aldus Gowdiak. Oracle liet de onderzoeker weten dat het van plan is om het lek tijdens de patchdinsdag van februari te dichten. In tegenstelling tot Microsoft dat elke maand met updates komt, brengt Oracle elk kwartaal updates uit.

In een verklaring waarom een update voor het ernstige Java-probleem is uitgesteld, stelt Oracle dat het bijna klaar was met het testen van de update van oktober, toen de melding over het nieuwe ernstig lek binnenkwam. Daardoor was het te laat om de update in de patchronde van oktober mee te nemen.

Adobe Reader XI beter gewapend tegen hackers

Windows Help helpt hackers bij gerichte aanvallen

Reacties (11)

17-10-2012, 18:10 door [Account Verwijderd]

[Verwijderd]

17-10-2012, 18:14 door Anoniem

Wie heeft dat eigenlijk bedacht, dat onzalige idee van die "patchrondes"?

17-10-2012, 19:21 door Anoniem

Dit is dus precies de reden dat ik geen JAVA op mijn PC heb.

17-10-2012, 19:52 door Sith Warrior

Ik begrijp ook niet helemaal waarom we van update 7 naar 9 zijn gegaan en 8 geskipt is.

17-10-2012, 20:12 door Anoniem

Door Sith Warrior: Ik begrijp ook niet helemaal waarom we van update 7 naar 9 zijn gegaan en 8 geskipt is.

Iemand heeft bedacht dat de oneven nummers voor security updates zijn en de even nummers voor releases
met nieuwe features.
We gingen voor het grote publiek ook van 5 naar 7 terwijl daar tussen wel een versie 6 was voor de java addicten
waarin men voor het eerst de JavaFX spullen er standaard bij zaten.
(daarmee werd het installatie pakket weer 10MB groter)

Door gauw de Update 7 te installeren in verband met de security crisis trok je dus meteen ook een stuk nieuwe
functionaliteit naar binnen, waarvan we maar moeten hopen dat die niet weer nieuwe lekken introduceert.

Tussen 7 en 9 zit niet zo'n release, die heeft men van 8 opgeschoven naar 10.

17-10-2012, 20:45 door Anoniem

Het blijft een merkwaardig fenomeen, Java en Oracle. Nou en, dan komt die informatie te laat binnen. Niet lullen, maar poetsen is het credo. Werk eraan en kom dan sneller met een juiste patch uit, a.s.a.p. Is ook een kwestie van prioriteiten stellen.

18-10-2012, 00:39 door Anoniem

Kortom: Wij patchen eens per kwartaal en voor de rest zoekt u het maar uit, ongeacht de consequenties. Wij zijn groot en u is klein. Lekker, puh.

18-10-2012, 00:53 door Anoniem

Klinkt als: deinstalleer Java. What's the problem?

18-10-2012, 09:45 door WhizzMan

Ik heb het al eerder gezegd. Oracle neemt beveiliging niet serieus genoeg; dat blijkt wel weer uit de arrogantie waarmee ze dit probleem aanpakken en er over communiceren. Van dit lek weten we het, omdat Gowdiak er zelf de pers mee op zoekt. Van hoeveel andere lekken weten we het niet en wordt er misbruik gemaakt?

Ik zou nog eens goed nadenken of je Oracle producten wel wilt gebruiken als er alternatieven zijn die wel actief aan hun beveiliging werken. Dat geldt dus niet alleen voor een Java VM, maar ook voor besturingssystemen en databases.

18-10-2012, 10:29 door Anoniem

Ik zou nog eens goed nadenken of je Oracle producten wel wilt gebruiken als er alternatieven zijn die wel actief aan hun beveiliging werken. Dat geldt dus niet alleen voor een Java VM, maar ook voor besturingssystemen en databases.[/quote]
Nou dat lost zichzelf wel op. Ik zie de ene applicatie na de andere migreren naar Microsoft SQL Server.
(dwz alle applicaties die we op het werk draaien die nu op een andere database draaien die hebben aangekondigd
dat ze bij de volgende release gaan migreren)

Lijkt je dat beter?

18-10-2012, 22:07 door Anoniem

Java, software? is dat niet een van de 4 grote soemba eilanden in de Indonesische archipel? Tenminste daar houd ik het voortaan maar weer op en Oracle: vlieg op (met je halfslachtigheid).

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer