image

"Meest aangevallen Java-lek ruim 2,5 jaar oud"

vrijdag 17 oktober 2014, 15:50 door Redactie, 7 reacties

Een ernstig lek in Java dat ruim 2,5 jaar geleden door Oracle werd gepatcht is nog altijd de meest aanvallen Java-kwetsbaarheid op internet. Dat stelt beveiligingsbedrijf FireEye aan de hand van eigen onderzoek (PDF). De IT-beveiliger analyseerde de Java-lekken die bij aanvallen worden ingezet en ontdekte dat de drie meest gebruikte kwetsbaarheden al vrij oud zijn.

De lekken, aangeduid als CVE-2012-0507, CVE-2013-2465 en CVE-2012-1723, worden bij elkaar opgeteld voor 48% van de Java-aanvallen gebruikt. Voor deze lekken verschenen respectievelijk in februari 2012, juni 2013 en juni 2012 beveiligingsupdates. Het lek uit februari 2012 valt daarbij extra op, aangezien deze kwetsbaarheid bij 32% van de aanvallen werd gedetecteerd. De aanvallen richten zich op verschillende sectoren, zoals overheid, banken en onderwijs. Het is echter de high-techsector die de afgelopen 6 maanden met veruit de meeste Java-aanvallen te maken kreeg.

Reacties (7)
17-10-2014, 16:44 door Anoniem
2,5 jaar oud lek het populairst?

Begrijpelijk

[java malware mode]
never change a winning team!

Daarnaast is er ook nog ruim teveel keus aan Java lekken.
Recent nog, 25 lekken met een maximale score 10 beoordeeld.
https://www.security.nl/posting/405221/Oracle+patcht+vandaag+155+lekken+waarvan+25+in+Java
Om van te watertanden, wat een feest!
Zoeken naar zeroday's, wie wil dat nou, helemaal niet nodig.
[/java malware mode]

Als niemand zoekt naar zerodays, dan worden ze ook niet gevonden.
Geen gevonden zerodays is geen betrouwbare maatstaf voor veilig.

Wat een pech voor Oracle zeg.
Zo bekend van Java ellende, niet bekend genoeg onder gewone consumenten om ze Java massaal te laten updaten.
Of willen consumenten dat niet meer vanwege ongewenst meegeleverde adware?
Dat kan natuurlijk ook.

Java schuld dikke bult?
Praktijk van alledag; de meeste mensen hebben gewoonweg geen idee, gebruiken het niet en lopen zwaar achter met Java updates.
Tijd voor meer verwijder tutorials, in ieder geval voor verwijderhulp aan familie, vrienden, bekenden.
Doe je mee?
17-10-2014, 18:57 door Anoniem
Ik heb zo'n 2 jaar geleden Java verwijderd en dit heeft nooit problemen opgeleverd. Dus als je Java niet beslist nodig hebt, is verwijderen de beste optie. Je bent dan van een potentieel gevaar verlost en het scheelt ook met het in de gaten houden van updates.
17-10-2014, 19:42 door Anoniem
Dat is dus de reden dat er geen Java op mijn PC komt of ooit geweest is.
17-10-2014, 20:27 door [Account Verwijderd] - Bijgewerkt: 17-10-2014, 22:28
[Verwijderd]
18-10-2014, 10:17 door Anoniem
Het zal voor de effectiviteit niet veel uitmaken.
Je bent op zoek naar mensen die Java wel op de computer hebben maar niet updaten.
Tegenwoordig installeren niet veel mensen meer Java, je moet de mensen hebben die het installeerden toen het nog
nodig was. Een deel daarvan heeft automatische updates aan staan, die lopen niet ver achter, een deen doet geen updates,
die hebben een jaren oude versie. Dus die kun je aanvallen.
Mensen met een 1 jaar oude versie (die het er 1 jaar geleden op gezet hebben maar niet updaten) zullen er niet veel zijn.
18-10-2014, 11:18 door Anoniem
Door Krakatau:
Door Anoniem: 2,5 jaar oud lek het populairst?
...
[java malware mode]...[/java malware mode]
...

Mijn god! Die verpletterende argumentatie! :-(
Mijn god! Die verpletterende argumentatie! :-(
Inderdaad, gelukkig doe jij dat beter...


OT:
Java wordt standaard meegeleverd op veel hardware. Op zich hartstikke leuk, het is een van de weinige software die cross-platform werkt.
Het probleem is echter dat veel gebruikers niet weten dat ze Java hebben (dus moeten updaten!!!), en dat veel hardware (IoT) niet door gebruikers te updaten valt.


Dat Oracle het daarbij nodig vindt om adware door je strot te duwen bij iedere installatie & update, draagt niet bij aan de bereidheid om dit probleem aan te pakken natuurlijk, zowel onder beheerders als eindgebruikers.

Erger nog, dat Oracle vervolgens ook zo arrogant is om bij iedere installatie de Java browser-plug-in in te schakelen, waarvan IEDEREEN (met een klein beetje verstand van zaken) weet dat deze plug-in het grote probleem is, vind ik ronduit schandalig en getuigen van alles behalve respect voor de consument.
De reden voor dat beleid is me, na herhaaldelijk vragen, nooit medegedeeld. Ik neem aan dat het is omdat Oracle op deze manier heel makkelijk gebruikers-data kan verzamelen (spyware).

Dus blijf vooral Oracle verdedigen Krakatau, mijn inziens speel je voor advocaat van de duivel.... :(
20-10-2014, 12:46 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.