image

Java-gebruikers laten onderzoekers schrikken

vrijdag 1 februari 2013, 15:21 door Redactie, 12 reacties

37 beveiligingslekken waren verantwoordelijk voor 70% van alle kwetsbaarheden die vorig jaar werden gedetecteerd, maar acht daarvan vormen een zeer groot beveiligingsrisico. Dat meldt het Russische anti-virusbedrijf dat de gegevens van 11 miljoen gebruikers analyseerde. Deze gebruikers hadden toestemming gegeven om hun gegevens met de virusbestrijder te delen.

In totaal werden 132 miljoen beveiligingslekken gedetecteerd, wat neerkomt op gemiddeld 12 lekken per gebruiker. In totaal ging het 806 unieke kwetsbaarheden. 37 van deze lekken stonden gedurende tenminste één week op tenminste 10% van alle gescande computers. En zijn daardoor volgens Kaspersky interessant voor cybercriminelen.

Software
De lekken waren verdeeld over 11 verschillende 'softwarefamilies'. De meeste lekken bevonden zich in Adobe Shockwave, Adobe Flash Player, Apple iTunes, Apple QuickTime en Oracle Java. Van de 37 lekken worden er slechts 8 actief op grote schaal door cybercriminelen gebruikt. Het gaat om vijf Java-lekken, twee Flash Player-lekken en als laatste een lek in Adobe Reader.

In de Top 37 staan verschillende 'exoten', waaronder WinRAR, Google Picasa, Google Chrome (dat over een automatische update functie beschikt), WinAMP en VLC Media Player. Populaire software waar geregeld lekken in worden gevonden, maar die geen doelwit van cybercriminelen zijn.

Java
De onderzoekers schrokken echter het meest van de situatie die ze bij Java-gebruikers aantroffen. Ondanks het verschijnen van updates en media-aandacht voor aangevallen beveiligingslekken in de software, bleek dat na zo'n zeven weken sinds het verschijnen van een nieuwe update, die door nog geen 30% van de gebruikers was geïnstalleerd. Bij browsers zou dit percentage binnen de 5 a 7 dagen worden behaald.

Die cijfers komen overeen met eerder onderzoek van beveiligingsbedrijf Rapid7, dat ontdekte dat 60% van de Java-installaties nooit up-to-date is. Bij Kaspersky kunnen ze er nog enigszins nuchter op reageren. "We kunnen stellen dat het updateproces voor Oracle Java erg langzaam is."


Gebruikers met gepatchte Java-installatie (Fixed) tegenover ongepatchte Java-installatie (Affected) op weekbasis.

Reacties (12)
01-02-2013, 15:55 door Anoniem
Helemaal niet zo vreemd zolang het updaten van java zo omslachtig is. Hoogtijd dat er een automatische update functie komt.
Gebruikers weten niet wat het is en klikken de melding vervolgens weg.
01-02-2013, 16:31 door johanw
Automatische update die dan meteen die Ask.com spyware installeert? Liever niet zeg.
01-02-2013, 17:01 door Spiff has left the building
Door johanw:
Automatische update die dan meteen die Ask.com spyware installeert? Liever niet zeg.
De automatische en stille update van Adobe Flash Player installeert ook niet de Google of McAfee extraatjes die je op de standaard-downloadpagina aangeboden krijgt. Automatisch updaten van Java zou wellicht net zo keurig kunnen.
01-02-2013, 17:38 door Anoniem
Jongens gewoon massaal over naar Linux ,ik zie hem helemaal nergens vermed staan,dus moet die in ieder geval veilig zijn :) en nog belangerijker hij is GRATISSSS!!!!!
01-02-2013, 20:11 door [Account Verwijderd]
[Verwijderd]
01-02-2013, 20:38 door Spiff has left the building
Door joey van hummel:
Bovendien is het nog eens extra erg omdat de oude versie naast de nieuwe versie blijft bestaan.
Dal geldt alleen voor zeer oude Java versies, ouder dan Java JRE 6 update 10 van oktober 2008.
Sinds Java JRE 6 update 10 wordt bij update de oude Java installatie verwijderd.
Zie:
https://www.security.nl/artikel/23426/Sun_verwijdert_eindelijk_oude_Java_installaties.html
https://www.security.nl/artikel/39012/1/Oude_Java-_installatie_bedreigt_Windows-gebruikers.html
02-02-2013, 01:03 door [Account Verwijderd]
[Verwijderd]
02-02-2013, 09:07 door Anoniem
Java
De onderzoekers schrokken echter het meest van de situatie die ze bij Java-gebruikers aantroffen. Ondanks het verschijnen van updates en media-aandacht voor aangevallen beveiligingslekken in de software, bleek dat na zo'n zeven weken sinds het verschijnen van een nieuwe update, die door nog geen 30% van de gebruikers was geïnstalleerd.


Even in een relativerend perspectief ten gunste van de 'schrikaanjagend lakse updaters'.

"Oracle brengt elk kwartaal updates uit" ,dat is dan plusminus elke 13 weken
( www.security.nl/artikel/43523/1/Oracle_dicht_109_beveiligingslekken.html ).

Daarnaast heeft Oracle nogal moeite één en ander zelf bij te houden, is de prognose voor een veiliger Java na 52 (?!) weken te verwachten.
( www.security.nl/artikel/44695/1/'Java_pas_in_2015_veilig_genoeg_voor_gebruik'.html ) .

Wat heb je dan nog aan een automatische update, die maar niet komt, en als (half) gepatched de veiligheid ervan binnen korte tijd weer verder is achterhaald?
Doen die 7 weken weken dan nog steeds zo schrikken?

Dan is er wel een creatieve (goede?) automatische oplossing voorhanden,
ook weer niet gewaardeerd vanwege toekomstvisie (sta alleen toekomstige, niet verschenen versie toe ;-).
( www.security.nl/artikel/44989/1/Apple_blokkeert_meest_recente_Java-versie.html )

Gebruiker zal dan zijn computer actief de 'onveiligheid' in moeten tweaken.
Relatief simpel, maar dat doet niemand die al niet op de update button durft te klikken, en zo blijft bij gebrek aan actie in ieder geval die computer wat veiliger.

Vraag : Iemand al geprobeerd het (java) versienummer ergens wat virtueel op te krikken naar een (toekomstige) versie die nog niet bestaat?
Want je kan het misschien ook omdraaien,...

Heb de indruk dat meeste (java)scripts op sites het versie nummer van de software checken; "if < ..." = malware action!?
Variatie op Security by Obscurity, trucje lijkt wel te werken met andere webplugins / (browser) software (+M) , of dat voor java zou werken, wie het weet mag het zeggen .
02-02-2013, 09:23 door [Account Verwijderd]
[Verwijderd]
02-02-2013, 10:32 door Spiff has left the building
Door joey van hummel:
Vreemd, ik heb laatst 7u10 naar 7u11 geüpdatet en ik moest toen 7u10 weer handmatig verwijderen. misschien doordat ik beide 32- en 64bits installaties heb staan dan. In ieder geval bedankt voor de correctie. :)
Je bent niet de eerste die dat meldt, anderen hebben een vergelijkbare ervaring eerder gemeld, zowel hier als elders.
Jammer genoeg was in elk van de verschillende gevallen niet duidelijk wat de oorzaak was van het niet automatisch verwijderen van een oude Java versie bij update.
Het lijkt in ieder geval te laten zien dat het systeem van het verwijderen van oude Java versies blijkbaar niet onfeilbaar is.
02-02-2013, 10:45 door Spiff has left the building
Door Solaris:
Kennen jullie dit artikel al ?
Weliswaar niet via de auto-update, maar handmatig, maar toch interessant.
http://www.zdnet.nl/download/147063/vermijd-lelijke-adware-als-je-java-moet-installeren/
Het artikel kende ik nog niet, en ook niet de geboden directe link naar de Java SE Runtime Environment 7 Downloads
http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html

Het principe kende ik al wel.
Net zoals Adobe voor Flash Player biedt ook Oracle voor Java offline installers, waarmee je niet geconfronteerd wordt met een aanbod voor het meeïnstalleren van 'extraatjes'.

Ik gebruik zelf geen Java meer, maar toen ik het nog wel gebruikte ging ik uit van de volgende adressen:
http://www.oracle.com/technetwork/java/index.html
-> Kies Java SE -> http://www.oracle.com/technetwork/java/javase/downloads/index.html
-> Kies Download JRE, van de Java versie die je wenst.

Deze route heeft als voordeel boven de directe link zoals aangeboden door ZDNet dat je erdoor kan kiezen tussen verschillende Java series, terwijl de link zoals aangeboden door ZDNet enkel verwijst naar de Java 7 versies (en dus verouderd is zodra Java komt met een serie 8).
02-02-2013, 18:16 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.