Nieuws
image

Oracle noodpatch verhelpt ernstige Java-lekken

dinsdag 5 maart 2013, 10:04 door Redactie, 11 reacties

Oracle heeft een beveiligingsupdate voor Java 5, 6 en 7 uitgebracht die twee ernstige beveiligingslekken verhelpt. Eén van de kwetsbaarheden wordt actief door aanvallers in het wild gebruikt voor het infecteren van computers. Het is inmiddels de derde noodpatch in drie maanden tijd. Beide lekken die nu zijn verholpen hebben te maken met het 2D-onderdeel van Java SE

De kwetsbaarheden hebben daardoor geen invloed op Java voor servers, Java desktopapplicaties of ingebedde Java-applicaties. Ook Oracle gebaseerde serversoftware zou niet kwetsbaar zijn. Het lek dat aanvallers actief misbruiken, CVE-2013-1493, was al op 1 februari bij Oracle gerapporteerd. Het bedrijf had echter geen tijd om een update te ontwikkelen die tijdens de gepland patchcyclus van 19 februari mee kon.

Updates
De update stond dan ook gepland voor 16 april. Aangezien het lek actief misbruikt wordt, besloot Oracle tot actie over te gaan. Daarbij benadrukt het bedrijf ook recent ingevoerde aanpassingen, zoals het verhoogde beveiligingsniveau voor zelf of niet gesigneerde Java-applets. Hierdoor krijgen Java-gebruikers een waarschuwing als een kwaadaardig Java-applet wordt geladen.

Experts hebben echter al aangetoond dat deze maatregel is te omzeilen. Tevens is ook de patchcyclus aangepast en is Oracle van plan om updates voor Java SE sneller uit te brengen. Dit om de 'securitywaardigheid' van Java als browserplug-in te redden. Updaten naar Java 5 Update 41, Java 6 Update 43 of Java 7 Update 17 kan via de applicatie zelf of Java.com.

Reacties (11)
05-03-2013, 10:22 door Anoniem
Ruim een jaar geleden Java verwijderd van mijn pc en tot op heden nog nooit problemen gehad, een thuis gebruiker heeft dit zeker niet nodig. Zakkelijk kom je er soms niet onderuit en dan blijft het een zaken van patchen... helaas
05-03-2013, 10:44 door Anoniem
Door Anoniem: Ruim een jaar geleden Java verwijderd van mijn pc en tot op heden nog nooit problemen gehad, een thuis gebruiker heeft dit zeker niet nodig. Zakkelijk kom je er soms niet onderuit en dan blijft het een zaken van patchen... helaas

Als banken tegenwoordig ook met Java gaan werken dan is het bijna wel noodzakelijk.
05-03-2013, 10:47 door Anoniem
Door Anoniem: Ruim een jaar geleden Java verwijderd van mijn pc en tot op heden nog nooit problemen gehad, een thuis gebruiker heeft dit zeker niet nodig. Zakkelijk kom je er soms niet onderuit en dan blijft het een zaken van patchen... helaas
Hier is de ervaring omgekeerd: Ik heb sinds begin februari vorig jaar geen Java meer, en het elke maand of twee maanden wel een keer gemist (als thuisgebruiker). Zakelijk heb ik het nooit nodig gehad.
05-03-2013, 11:06 door Anoniem
Door Anoniem:
Door Anoniem: Ruim een jaar geleden Java verwijderd van mijn pc en tot op heden nog nooit problemen gehad, een thuis gebruiker heeft dit zeker niet nodig. Zakkelijk kom je er soms niet onderuit en dan blijft het een zaken van patchen... helaas

Als banken tegenwoordig ook met Java gaan werken dan is het bijna wel noodzakelijk.
Ja maar dat doen de meeste banken niet he?
Dus wat is je probleem?
05-03-2013, 11:25 door Anoniem
"De kwetsbaarheden hebben daardoor geen invloed op Java voor servers, Java desktopapplicaties of ingebedde Java-applicaties" welke javas zijn er nog meer ? is het een exploit voor de koffie ofzo?
05-03-2013, 15:36 door Anoniem
Helaas is een online kaartspel website dat Java applets gebruikt 'mission critical' voor mijn ouders...
05-03-2013, 16:47 door Anoniem
Java is onmisbaar als mijn moeder wil klaverjassen op spelpunt, dus maar aangezet in Fx voor ze.
05-03-2013, 17:14 door Anoniem
Voor het inloggen in het digitale loket bij nogal wat gemeenten is het activeren van de java browser plugin vereist.
Niet zo belangrijk misschien als het bewaken van je bankrekening, maar het zal regelmatig toch gevoelige informatie kunnen betreffen die zeker ook het beschermen waard is.
De vraag is of de bedrijven die deze java gebaseerde portal technologie bij gemeenten aanleveren, zelf het initiatief zullen nemen in het kiezen voor en toepassen van veiliger technologische alternatieven, of die verantwoordelijkheid bij de eindgebruiker neerleggen (java updates actief bijhouden).
05-03-2013, 20:05 door GeminiAlpha
als je java 7u17 installeert en ná de installatie de controle ervan wilt checken op de java.com site loopt die check stuk.
Zo:
Kies op java.com "Heb ik Java?" en dan "Java versie controleren". Figuurtje blijft rondjes draaien en tenslotte krijg je de boodschap: "We kunnen niet verifiëren of Java op uw browser is geïnstalleerd en geactiveerd."
uitgeprobeerd met vista+ie9 na update van 7u15 naar 7u17 (en vinkje voor Java op security tabblad "aan")
06-03-2013, 09:20 door Anoniem
Men heeft gisteravond EINDELIJK het "Java versie controleren" applet vervangen door een jnlp file en gesignede Jar.
Dit betekent uiteraard nog steeds dat je toestemming moet geven als je de versie wilt checken maar nu is het
in ieder geval weer mogelijk om de versie te checken als ie op secure staat.
Probeer het dus nog een keer zou ik zeggen.
05-06-2015, 22:14 door Anoniem
zonde dat kaartspellen online niet meer werkt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure