Nieuws
image

Microsoft prijst Oracle voor Java-beveiliging

woensdag 17 april 2013, 11:27 door Redactie, 6 reacties

De Java browserplug-in is al sinds 2010 een geliefd doelwit van cybercriminelen en die trend zet zich nog altijd door, aldus Microsoft. Alleen al in het eerste kwartaal van dit jaar werden drie lekken gebruikt die in 2013 ontdekt zijn. Een nieuwe maatregel van Oracle kan daar mogelijk verandering in brengen. Sinds Java 7 Update 11 verschijnt er een waarschuwing bij ongesigneerde Java-applets.

De meeste applets die Java-lekken misbruiken om internetgebruikers te infecteren zijn niet gesigneerd. Bij oude en onveilige Java-versies werden gebruikers via dit soort applets automatisch geïnfecteerd. Door de nieuwe maatregel is er een extra muisklik van de gebruiker vereist.

Veiligheid
"Hierdoor hebben aanvallers geen andere keuze dan het gebruik van social engineering om de gebruiker te overtuigen om op Uitvoeren te klikken", zegt Marian Radu van het Microsoft Malware Protection Center. De maatregel zou het lastiger voor aanvallers moeten maken om computers via Java te infecteren.

Het is dan ook belangrijk dat Java-gebruikers waarschuwingen en dialoogvensters over ongesigneerde Java-applets goed lezen, merkt Radu op. Cybercriminelen gebruiken inmiddels zelf gesigneerde Java-applets, maar nog steeds verschijnt er dan een waarschuwing. Die is volgens Radu nog duidelijker dan bij ongesigneerde Java-applets.

Daarnaast is er vanaf gisteren een nieuwe aanpassing doorgevoerd, dat gebruikers eerst een 'checkbox' moeten aanvinken en dan op oké moeten klikken. "Een kleine maar belangrijke beveiligingslaag", zegt beveiligingsonderzoekster Sandi Hardmeier.

De Microsoft-analist stelt dat het nog steeds zeldzaam is om kwaadaardige Java-applets met een geldige digitale handtekening te vinden. "Lof voor onze vrienden bij Oracle voor het nemen van deze maatregel om de veiligheid van Java te verbeteren."

Reacties (6)
17-04-2013, 11:44 door linuxpro
Dus omdat de gebruiker op "Run" of "Ok" moet klikken komt het volgens microsoft goed... Briljant * zucht *
17-04-2013, 12:15 door Rasalom
Door linuxpro: Dus omdat de gebruiker op "Run" of "Ok" moet klikken komt het volgens microsoft goed... Briljant * zucht *
Het is in elk geval 100% beter dan het was.

Maar zolang gebruikers bereid zijn elke veiligheidsmaatregel te omzeilen als ze iets 'gratis' in het vooruitzicht wordt gesteld zal het probleem voortduren. Al moet je 100 waarschuwingen wegklikken.

Het enige is dat de malwaremaker social enginering zal moeten gaan gebruiken, waar de besmetting eerst vol automatisch plaatsvond.

Nahja, eerst maar eens zien of er geen lek in deze patch zit. Daarna kan wellicht de vlag uit. :-)
17-04-2013, 12:20 door Anoniem
Java maakt standaard geen gebruik van de CRL. De advanced opties 'Check certificates for revocation using Certificate Revocation Lists (CRLs)' en 'Enable online certificate validation' stonden tot nu toe altijd standaard niet aangevinkt. Vanaf Java 7 update 11 kregen de gebruikers de dialogen te zien als een applet niet voorzien was van een certificaat en de geinstalleerde java versie niet up-to-date was. Met Java 7 update 21 is dit veranderd en krijgen de gebruikers altijd een melding te zien bij een Java applet of Web Start Application zonder certificaat. Zie ook https://blogs.oracle.com/java/entry/imp_your_applets_and_web
17-04-2013, 12:37 door SphaZ
Door Rasalom:
Nahja, eerst maar eens zien of er geen lek in deze patch zit. Daarna kan wellicht de vlag uit. :-)

HAHAHA, goeie.
17-04-2013, 14:51 door [Account Verwijderd]
[Verwijderd]
18-04-2013, 10:40 door Anoniem
Cancel is vaag (betekenis:annuleer) Abort is duidelijker. (betekenis: afbreken,stoppen). Het is maar een detail maar wel een belangrijke: Het betreft duidelijk en correct gebruik van taal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure