Oracle noodpatch voor ernstige Java-lekken
Oracle heeft zoals aangekondigd een noodpatch voor twee ernstige Java-lekken uitgebracht, waarvan er één op grote schaal door cybercriminelen werd gebruikt om internetgebruikers te infecteren. Het gaat in dit geval om kwetsbaarheid CVE-2013-0422, waardoor het mogelijk is de Oracle Java 7 Security Manager te omzeilen. De nu verholpen lekken zijn niet aanwezig in Java 6.
Daarnaast wijzigt de noodpatch ook het standaard Java beveiligingsniveau van 'Medium' naar 'High'. Door deze nieuwe instelling krijgt een gebruiker altijd een waarschuwing te zien voordat een ongesigneerd Java applet of Java Web Start applicatie wordt uitgevoerd.
Vanwege het grootschalige misbruik adviseert Oracle gebruikers van Java 7 om de update direct te installeren, wat via Java.com gedaan kan worden.
Misbruik
De andere kwetsbaarheid, CVE-2012-3174, is net zo ernstig als CVE-2013-0422, maar zou nog niet actief misbruikt worden. In beide gevallen volstaat het bezoeken van een kwaadaardige of gehackte website. Het lek werd vorige week ontdekt, maar zou mogelijk al sinds halverwege december door cybercriminelen zijn ingezet.
De Poolse beveiligingsonderzoeker Adam Gowdiak liet tegenover Security.nl weten dat het lek veroorzaakt werd door slordig patchwerk aan de kant van Oracle. Doordat het bedrijf een oudere kwetsbaarheid niet goed had verholpen, was het voor aanvallers mogelijk om Java 7-gebruikers alsnog aan te vallen.
Weet iemand waar dat ergens opgeslagen wordt?
Ik zou hier graag een entry in zetten bij installatie.
"Oracle heeft een groot lek in Java gepatcht. Desondanks blijven experts kritisch. Heb jij Java nog geïnstalleerd?"
http://tweakers.net/poll/1564/java-faal.html
6 procent zegt "Is Java onveilig? HUH?"
10 procent zegt "Geen idee"
25 procent zegt "Ja, maar ik gebruik het eigenlijk nooit".
Het security-bewustzijn op Tweakers is niet dat als op Security.nl, dat had ik eerder al geconstateerd, maar ook voor de Tweakers-bevolking vind ik de getallen in die poll toch vrij zorgelijk, brr.
als deze zijn uitgeschakeld in mijn IE 9 Browser
Naam Java(tm) Plug-In SSV Helper
Uitgever Oracle America, Inc.
Status Uitgeschakeld
Naam Java(tm) Plug-In 2 SSV Helper
Uitgever Oracle America, Inc.
Status Uitgeschakeld
zelf had ik net de java 7.10 en deze eerst verwijderd van pc en toen de nieuwe geinstalleerd van java 7.11
deze nieuwe java heb ik ook beide uitgeschakeld in mijn browser zoals hier boven staat
neem aan dat dit gewoon veiliger is, en nu deze uitgeschakeld zijn niet eens het verschil merkt dan aan
ze staan nu uit omdat er al eens eerder zoiets was met Java dat het beter was deze uit te schakelen
in de browser
ik weet inmiddels wel dat je java nodig heb voor bevoorbeeld games te kunnen spelen
maar zie alleen geen verschiel met in de browser aan of uit dat laatste laat ik maar zo uitgeschakeld
maar zie alleen geen verschiel met in de browser aan of uit dat laatste laat ik maar zo uitgeschakeld
De meeste spellen die je in je browser speelt gebruiken Flash. Als je Java hebt uitgeschakeld en je spellen werken nog steeds, speel je dus blijkbaar geen spellen die gebruik maken van Java.
Ik zou Java gewoon helemaal verwijderen en dan kijken hoe lang het duurt voordat je een melding krijgt dat je Java nodig hebt. Misschien heb je het wel helemaal niet nodig. Dan hoeft het dus ook niet op je PC te staan. Zou je het ooit eens nodig hebben, heb je het snel genoeg geïnstalleerd en als je het dan pas installeert, weet je ook meteen dat je de laatste versie hebt.
@ Karatau
mooi om te weten over java,
heb nooit echt informatie kunnen vinden waar het nu precies voor is
@ fjallaljónið
zelf gebruik ik java alleen zo ver ik weet voor pc games zoals Battlefield 3
krijg daar wel eens zo'n plug-in update
en deze krijg en installeer ik zonder problemen dit terwijl java helper in browser uitgeschakeld zijn
maar voor Battlefield 3 en multiplayer heb je dacht ik wel Java nodig vanwege die updater
7u11 only fixes the current o-day, but not the underlying vulnerability.
The current Java7update 11 release update only fixes CVE-2012-3174; CVE-2013-0422 remains intact and Java 7 is still vulnerable. All an attacker need do is mix a new cocktail using the CVE-2012-3174 vulnerability plus a new twist and here we go all over again.
Immunity products has already verified this here -
http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html
@ fjallaljónið
zelf gebruik ik java alleen zo ver ik weet voor pc games zoals Battlefield 3
krijg daar wel eens zo'n plug-in update
en deze krijg en installeer ik zonder problemen dit terwijl java helper in browser uitgeschakeld zijn
maar voor Battlefield 3 en multiplayer heb je dacht ik wel Java nodig vanwege die updater
Apart. De grote, betaalde games worden niet in Java geschreven. Zoiets als Minecraft gebruikt wel Java, maar echte games die door EA, Ubi en dergelijke worden uitgegeven draaien niet op Java. Dan vraag ik mij af waarom Battlefield 3 bij jou Java nodig zou moeten hebben. Heb je soms mods of add-ons geïnstalleerd? Misschien dat die Java gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
