image

Oracle noodpatch voor ernstige Java-lekken

maandag 14 januari 2013, 09:30 door Redactie, 10 reacties

Oracle heeft zoals aangekondigd een noodpatch voor twee ernstige Java-lekken uitgebracht, waarvan er één op grote schaal door cybercriminelen werd gebruikt om internetgebruikers te infecteren. Het gaat in dit geval om kwetsbaarheid CVE-2013-0422, waardoor het mogelijk is de Oracle Java 7 Security Manager te omzeilen. De nu verholpen lekken zijn niet aanwezig in Java 6.

Daarnaast wijzigt de noodpatch ook het standaard Java beveiligingsniveau van 'Medium' naar 'High'. Door deze nieuwe instelling krijgt een gebruiker altijd een waarschuwing te zien voordat een ongesigneerd Java applet of Java Web Start applicatie wordt uitgevoerd.

Vanwege het grootschalige misbruik adviseert Oracle gebruikers van Java 7 om de update direct te installeren, wat via Java.com gedaan kan worden.

Misbruik
De andere kwetsbaarheid, CVE-2012-3174, is net zo ernstig als CVE-2013-0422, maar zou nog niet actief misbruikt worden. In beide gevallen volstaat het bezoeken van een kwaadaardige of gehackte website. Het lek werd vorige week ontdekt, maar zou mogelijk al sinds halverwege december door cybercriminelen zijn ingezet.

De Poolse beveiligingsonderzoeker Adam Gowdiak liet tegenover Security.nl weten dat het lek veroorzaakt werd door slordig patchwerk aan de kant van Oracle. Doordat het bedrijf een oudere kwetsbaarheid niet goed had verholpen, was het voor aanvallers mogelijk om Java 7-gebruikers alsnog aan te vallen.

Reacties (10)
14-01-2013, 10:21 door Anoniem
Als je een app start en die vraag of je hem wilt runnen verschijnt, dan is er een vinkje waarin je kunt aangeven dat hij dit voor deze app niet meer moet vragen.
Weet iemand waar dat ergens opgeslagen wordt?
Ik zou hier graag een entry in zetten bij installatie.
14-01-2013, 12:30 door Spiff has left the building
Op Tweakers een gerelateerde poll:
"Oracle heeft een groot lek in Java gepatcht. Desondanks blijven experts kritisch. Heb jij Java nog geïnstalleerd?"
http://tweakers.net/poll/1564/java-faal.html
6 procent zegt "Is Java onveilig? HUH?"
10 procent zegt "Geen idee"
25 procent zegt "Ja, maar ik gebruik het eigenlijk nooit".
Het security-bewustzijn op Tweakers is niet dat als op Security.nl, dat had ik eerder al geconstateerd, maar ook voor de Tweakers-bevolking vind ik de getallen in die poll toch vrij zorgelijk, brr.
14-01-2013, 12:30 door Anoniem
vraag me wel eens af wat het nut van java is
als deze zijn uitgeschakeld in mijn IE 9 Browser

Naam Java(tm) Plug-In SSV Helper
Uitgever Oracle America, Inc.
Status Uitgeschakeld

Naam Java(tm) Plug-In 2 SSV Helper
Uitgever Oracle America, Inc.
Status Uitgeschakeld

zelf had ik net de java 7.10 en deze eerst verwijderd van pc en toen de nieuwe geinstalleerd van java 7.11

deze nieuwe java heb ik ook beide uitgeschakeld in mijn browser zoals hier boven staat
neem aan dat dit gewoon veiliger is, en nu deze uitgeschakeld zijn niet eens het verschil merkt dan aan

ze staan nu uit omdat er al eens eerder zoiets was met Java dat het beter was deze uit te schakelen
in de browser

ik weet inmiddels wel dat je java nodig heb voor bevoorbeeld games te kunnen spelen
maar zie alleen geen verschiel met in de browser aan of uit dat laatste laat ik maar zo uitgeschakeld
14-01-2013, 12:41 door 0101
Ter illustratie een screenshot van de beveiligingswaarschuwing die Java met het verhoogde beveiligingsniveau laat zien: https://twitter.com/kafeine/status/290607837250457600/photo/1/large
14-01-2013, 16:03 door [Account Verwijderd]
[Verwijderd]
14-01-2013, 17:49 door fjallalj__ni__
Door Anoniem: ik weet inmiddels wel dat je java nodig heb voor bevoorbeeld games te kunnen spelen
maar zie alleen geen verschiel met in de browser aan of uit dat laatste laat ik maar zo uitgeschakeld

De meeste spellen die je in je browser speelt gebruiken Flash. Als je Java hebt uitgeschakeld en je spellen werken nog steeds, speel je dus blijkbaar geen spellen die gebruik maken van Java.

Ik zou Java gewoon helemaal verwijderen en dan kijken hoe lang het duurt voordat je een melding krijgt dat je Java nodig hebt. Misschien heb je het wel helemaal niet nodig. Dan hoeft het dus ook niet op je PC te staan. Zou je het ooit eens nodig hebben, heb je het snel genoeg geïnstalleerd en als je het dan pas installeert, weet je ook meteen dat je de laatste versie hebt.
14-01-2013, 19:27 door Anoniem
Lol als je deze java 7 update 11 heb en je via je Firefox browser gaat controleren of het de juiste versie is wil deze een java 7 update 10 plug-in downloaden. Gaat weer lekker bij Oracle zelfs op hun eigen site werkt het voor geen meter.
14-01-2013, 20:29 door Anoniem
ik van 12:30 doorAnoniem

@ Karatau
mooi om te weten over java,
heb nooit echt informatie kunnen vinden waar het nu precies voor is


@ fjallaljónið
zelf gebruik ik java alleen zo ver ik weet voor pc games zoals Battlefield 3
krijg daar wel eens zo'n plug-in update
en deze krijg en installeer ik zonder problemen dit terwijl java helper in browser uitgeschakeld zijn
maar voor Battlefield 3 en multiplayer heb je dacht ik wel Java nodig vanwege die updater
15-01-2013, 08:38 door Anoniem
According DSHIELD.ORG site:

7u11 only fixes the current o-day, but not the underlying vulnerability.

The current Java7update 11 release update only fixes CVE-2012-3174; CVE-2013-0422 remains intact and Java 7 is still vulnerable. All an attacker need do is mix a new cocktail using the CVE-2012-3174 vulnerability plus a new twist and here we go all over again.

Immunity products has already verified this here -
http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html
15-01-2013, 16:55 door fjallalj__ni__
Door Anoniem: ik van 12:30 doorAnoniem

@ fjallaljónið
zelf gebruik ik java alleen zo ver ik weet voor pc games zoals Battlefield 3
krijg daar wel eens zo'n plug-in update
en deze krijg en installeer ik zonder problemen dit terwijl java helper in browser uitgeschakeld zijn
maar voor Battlefield 3 en multiplayer heb je dacht ik wel Java nodig vanwege die updater

Apart. De grote, betaalde games worden niet in Java geschreven. Zoiets als Minecraft gebruikt wel Java, maar echte games die door EA, Ubi en dergelijke worden uitgegeven draaien niet op Java. Dan vraag ik mij af waarom Battlefield 3 bij jou Java nodig zou moeten hebben. Heb je soms mods of add-ons geïnstalleerd? Misschien dat die Java gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.