image

Microsoft-fix schakelt Java uit in Internet Explorer

dinsdag 11 juni 2013, 10:02 door Redactie, 19 reacties

Vanwege de veiligheidsproblemen met Java heeft Microsoft een fix uitgebracht die de Java browserplug-in in Internet Explorer uitschakelt. Volgens Cristian Craioveanu van Microsoft zijn ongepatchte Java-versies nog altijd het grootste probleem, hoewel er soms zero-day-lekken in Java worden misbruikt waarvoor nog geen beveiligingsupdate beschikbaar is.

Oracle heeft wel maatregelen aangekondigd om Java veiliger te maken, maar veel internetgebruikers gebruiken een verouderde, onveilige Java-versie waar nieuwere beveiligingsmaatregelen in ontbreken. "Wat kan hier aan worden gedaan? Als je Java in je browser moet gebruiken niet veel, hou je software up-to-date en bezoek alleen betrouwbare websites", merkt Craioveanu op.

Oplossing
Het tweede deel van dat advies gaat niet helemaal op, aangezien ook betrouwbare websites malware verspreiden. Zo wisten cybercriminelen onlangs nog malware via advertenties op NU.nl te verspreiden. De exploit die in deze advertenties aanwezig was maakte misbruik van kwetsbaarheden in Java.

Voor gebruikers die Java in de browser niet nodig hebben en alleen voor desktop programma's gebruiken, is het verstandig om Java in de browser uit te schakelen. Daarom heeft Microsoft een Fix it oplossing ontwikkeld die Java in alle versies van Internet Explorer uitschakelt. Gebruikers kunnen zich zo via één muisklik tegen Java-aanvallen wapenen.

Reacties (19)
11-06-2013, 10:19 door Anoniem
grootste probleem vij Java is dat bij updates de oude versies nog gewoon blijven bestaan. De gebruiker dient zelf handmatig te verwijderen.
11-06-2013, 11:07 door Spiff has left the building
Door Redactie:
[...] Daarom heeft Microsoft een Fix it oplossing ontwikkeld die Java in alle versies van Internet Explorer uitschakelt. Gebruikers kunnen zich zo via één muisklik tegen Java-aanvallen wapenen.
Prima, alle beetjes helpen.
Echter, wanneer gebruikers naast IE ook een of meerdere ándere browsers gebruiken, op de Java plugin daarin heeft die Microsoft Fix it oplossing uiteraard geen effect.
Maar daarvoor bestaat Java's eigen mechanisme:
Het uitschakelen van de Java browser-plugin via het Java Control Panel.
Zie:
http://www.java.com/nl/download/help/disable_browser.xml
http://www.java.com/en/download/help/disable_browser.xml
Zie ook:
https://www.security.nl/artikel/45272/1/Disable_Java_plugin_via_Control_Panel.html

Dat uitschakelen van de Java browser-plugin via het Java Control Panel zou misschien wel wat meer aandacht verdienen.
11-06-2013, 12:11 door [Account Verwijderd]
[Verwijderd]
11-06-2013, 13:13 door Spiff has left the building
Door Anoniem, 10:19 uur:
grootste probleem vij Java is dat bij updates de oude versies nog gewoon blijven bestaan. De gebruiker dient zelf handmatig te verwijderen.
Ervaar je daarmee nog steeds problemen met versies sinds Java JRE 6 update 10 en nieuwer?
In principe wordt sinds Java JRE 6 update 10 (van oktober 2008) bij update de oude Java installatie verwijderd.
Zie:
https://www.security.nl/artikel/23426/Sun_verwijdert_eindelijk_oude_Java_installaties.html
https://www.security.nl/artikel/39012/1/Oude_Java-_installatie_bedreigt_Windows-gebruikers.html
11-06-2013, 15:39 door johanw
ze zouden beter ook een adblocker standaard kunnen meeleveren en standaard aanzetten. Dat zou al een hoop beveiligingsproblemen schelen, en bovendien trekken ze dan ook nog een lange neus naar Google.
11-06-2013, 17:18 door Anoniem
Voor wie is deze "oplossing" bedoeld dan?

Als je geen Java nodig hebt moet je het ook niet installeren.
Als je wel Java gebruikt, dan gaat deze Fix-It natuurlijk niet werken, nog naast het feit dat je beter een update ophaalt dan een Fix-It.

Als je iets om security geeft, zou je al helemaal geen IE icm Java moeten gebruiken, me dunkt.
11-06-2013, 17:43 door [Account Verwijderd]
[Verwijderd]
11-06-2013, 18:01 door Anoniem
Als je alleen een paar Java programma's in JAR formaat gebruikt kun je vanaf Java 7 ook het volgende doen onder Windows:

- Verwijder alle Java versies via Software.
- Download Java 7 JRE in in het tar.gz formaat voor Windows in de 32 of 64 bit variant.
- Pak het tar.gz bestand ergens uit.
- Nu kun je Java JAR bestanden opstarten met (java-map)\bin\javaw.exe -jar (jar-map)\programma.jar .
- Voor elke Java programma kun je een snelkoppeling maken.

Natuurlijk is het nog steeds belangrijk om ook die Java map up-to-date te houden.
11-06-2013, 18:33 door Anoniem
@ (o.a.) spiff 1313

Pakweg 16% van de gebruikers heeft een java versie waarbij dat niet het geval is. Gebruikers die vermoedelijk door gebruik van een ouder of ander OS gedwongen zijn te blijven steken op een oudere java versie 1.5 en ouder.

Bron, afbeelding bij artikel : https://www.security.nl/artikel/45643/1/94%25_Java-gebruikers_kwetsbaar_voor_malware.html
of het origineel : http://community.websense.com/blogs/securitylabs/archive/2013/03/22/how-are-java-attacks-getting-through.aspx?cmpid=sltw.


Verbaas me overigens dat niemand opmerkt dat deze actie wel rijkelijk laat is in vergelijking met andere browsermakers die allang dergelijke maatregelen hebben genomen.

Nog zomaar een vraagje, omdat voornamelijk het update-issue hier besproken wordt en niet het geheel verwijderen van java. (& ja, ja ik weet dat het probleem bij de plugin ligt en java verder prachtig werkt op servers, etc etc ;-)
Als je geen gebruik maakt van gemeentelijke (portal) diensten als het digitale loket waarvoor vaak wel nog de java (plugin) vereist is, voor welke applicaties het je het dan nou nog echt nodig?
Gaming? (geen idee ben geen gamer, roep eens 'wat').
11-06-2013, 21:20 door Anoniem
Waarom is daarvoor een fix nodig. Men kan toch volstaan met het verwijderen van Java?
11-06-2013, 23:04 door Spiff has left the building
Door Anoniem, 17:18 uur:
Als je wel Java gebruikt, dan gaat deze Fix-It natuurlijk niet werken
Niet correct.
Deze Microsoft Fix it oplossing schakelt de Java plugin in IE uit.
De Microsoft Fix it oplossing is bedoeld voor wie anders de Java plugin in IE niet uitschakelt/ niet weet hoe dat te doen.
Met het uitschakelen van de Java plugin in IE blijft de rest van de Java-installatie echter functioneel, voor wie Java nodig heeft op zijn/haar systeem, maar niet in IE.
11-06-2013, 23:07 door Spiff has left the building
Door Anoniem, 21:30 uur:
Waarom is daarvoor een fix nodig. Men kan toch volstaan met het verwijderen van Java?
Een fix is uiteraard niet per se nodig, de Java plugin in IE en andere browsers kan uiteraard ook op andere wijze uitgeschakeld worden.
Maar voor wie Java nodig heeft op zijn/haar systeem is verwijderen geen optie. Daarom dus slechts het uitschakelen van de Java plugin in de browser, in plaats van deïnstallatie van Java.
11-06-2013, 23:47 door Spiff has left the building
Door Spiff, 13:13 uur:
In principe wordt sinds Java JRE 6 update 10 (van oktober 2008) bij update de oude Java installatie verwijderd.
Door Anoniem, 18:33 uur:
Pakweg 16% van de gebruikers heeft een java versie waarbij dat niet het geval is.
Gebruikers die vermoedelijk door gebruik van een ouder of ander OS gedwongen zijn te blijven steken op een oudere java versie 1.5 en ouder.
Of die onzorgvuldig of onbekwaam zijn geweest met het bijhouden van Java.

Om 13:13 uur schreef ik "In principe wordt sinds Java JRE 6 update 10 bij update de oude Java installatie verwijderd."
En dat klopt. Maar dat geldt niet voor oudere versies die al aanwezig waren vóór JRE 6 update 10.
Wie die oudere versies op het systeem had en die nooit heeft opgeruimd, die zit daar nog steeds mee opgezadeld.
De enige remedie om dat te verhelpen is het deïnstalleren van die oude versies.
In plaats daarvan uitschakelen van de Java browser-plugin helpt ook wat, maar is geen volledige oplossing. Er zijn wellicht meer kwetsbaarheden in de oude Java-versies dan alleen die van de browser-plugin.

En voor wie om een of andere reden een afhankelijkheid bestaat van een monsterlijk verouderde Java-versie, daarvoor is er geen hoop, gezien het feit dat die versies niet meer worden ondersteund met security updates. Uiteraard is het uitschakelen van de browser-plugin dan het minste dat gedaan moet worden, maar met een dergelijke verouderde Java-installatie op mijn systeem zou ik me hoe dan ook niet safe voelen. Zoals ik hierboven al zei, er zijn wellicht meer kwetsbaarheden dan alleen die van de browser-plugin.

Door Anoniem, 18:33 uur:
[...] omdat voornamelijk het update-issue hier besproken wordt en niet het geheel verwijderen van java
[...] voor welke applicaties het je het dan nou nog echt nodig?
Zat applicaties vergen nog een geïnstalleerde Java.
Zomaar een paar die ik ken:
Intel Processor Diagnostic Tool,
PDFill PDF Tools, jPDF Tweak, en PDFsam (waarvoor PDFTK Builder een perfect Java-vrij alternatief is),
Apache OpenOffice, voor sommige onderdelen (wie die onderdelen niet nodig heeft kan zonder Java),
LibreOffice idem (al wordt in LibreOffice de Java-afhankelijkheid steeds verder verminderd).
Anderen kennen ongetwijfeld nog meer software die (geheel of gedeeltelijk) Java-afhankelijk is. Ikzelf blader bij software met Java-afhankelijkheid onmiddellijk door naar een Java-vrij alternatief, ik houd niet bij wat ik allemaal nog tegenkom dat nog Java verlangt.
12-06-2013, 09:02 door Anoniem
Door Spiff:
Om 13:13 uur schreef ik "In principe wordt sinds Java JRE 6 update 10 bij update de oude Java installatie verwijderd."
En dat klopt. Maar dat geldt niet voor oudere versies die al aanwezig waren vóór JRE 6 update 10.
Wie die oudere versies op het systeem had en die nooit heeft opgeruimd, die zit daar nog steeds mee opgezadeld.
Maar dat doet er helemaal niet toe, want het installeren van een latere versie zorgt er voor dat die versie de Java
wordt die gekoppeld is aan de browser. De oude versie wordt dus niet actief als je via de browser een Java
programma binnenhaalt, maar hooguit als een geinstalleerde applicatie deze versie hard aanroept. En dat is meestal
geen probleem omdat deze geinstalleerde applicaties niet met dynamisch gedownloade code werken, zoals de
browser wel doet.

Oude versies zijn op zich geen probleem. Als er nog oude versies (voor JRE6u10) gezien worden in inventarisaties
van gebruikers op internet dan betekent dit dat die gebruikers gewoon nog geen nieuwere versie geinstalleerd hebben.

Deze gebruikers ga je niet helpen met adviezen over updates, het verwijderen van oude versies, of een fix-it.
Dat soort dingen lezen ze helemaal niet. En als ze het al wel lezen (bijvoorbeeld omdat het in de krant staat of
op TV komt) dan vinden ze het "te moeilijk".
12-06-2013, 10:48 door Anoniem
Door Spiff:
Door Anoniem, 17:18 uur:
Als je wel Java gebruikt, dan gaat deze Fix-It natuurlijk niet werken
Niet correct.
Deze Microsoft Fix it oplossing schakelt de Java plugin in IE uit.
De Microsoft Fix it oplossing is bedoeld voor wie anders de Java plugin in IE niet uitschakelt/ niet weet hoe dat te doen.
Met het uitschakelen van de Java plugin in IE blijft de rest van de Java-installatie echter functioneel, voor wie Java nodig heeft op zijn/haar systeem, maar niet in IE.
Door Spiff: Ikzelf blader bij software met Java-afhankelijkheid onmiddellijk door naar een Java-vrij alternatief, ik houd niet bij wat ik allemaal nog tegenkom dat nog Java verlangt.
Fijn dat we het eens zijn, de enige toepassingen die ik ken waarvoor Java echt vereist is, zijn juist de dingen die over de plug-in draaien zoals sommige overheids-portals en dingen als Minecraft bijvoorbeeld.
Ik ken (gebruik) geen enkele software, zowel zakelijk als privé, waarvoor geen Java-vrij alternatief bestaat namelijk, vandaar dus mijn eerdere (beknopte) reactie. Dat JRE en JS in de volksmond beide als Java worden omschreven maakt het er ook niet eenvoudiger op...
12-06-2013, 13:01 door [Account Verwijderd]
[Verwijderd]
12-06-2013, 13:33 door Spiff has left the building
Door Anoniem, 09:02 uur:
Oude versies zijn op zich geen probleem.
Hartelijk bedankt voor je reactie.
Je reactie was uiteraard veel uitgebreider, maar dat citaat geeft de essentie ervan weer.
En nu ben ik in verwarring :-)
Er wordt op zóveel plaatsen zó bezorgd gedaan over oude Java versies die nog op een systeem staan naast een actuele versie, dat dat voor velen een bevestiging wordt van die 'waarheid'. Want zo gaat dat, herhaal en kopieer informatie maar vele malen op vele locaties, en het wordt ervaren als waar, of dat nou wel of niet terecht is.
Dit is zo'n geval, en ik kan er niet met zekerheid van beoordelen of jij nou gelijk hebt, of dat er toch iets van de zorg over oude versies naast nieuwe versies terecht is. Zo zie je maar wat herhaling teweeg kan brengen.
12-06-2013, 18:00 door Anoniem
@ spiff 23:47

We zijn het eens hoor,
dank voor je aanvullende uitleg van het punt dat ik maakte.

Met het verwijderen van oudere java versies ben ik bekend (onder Os X), vanuit die ervaring ook het gemaakte punt, want 15% van de Mac Os X gebruikers kan java niet updaten, laat staan automatisch verwijderen.
Omdat ik weet dat mensen dat meestal zelf niet kunnen of doen, daarom ook de algemene suggestie van automatische verwijder mogelijkheid ietwat genuanceerd.

Ten aanzien van je java applicatie voorbeelden (maakt me niet uit of die voor de pc zijn).
Is het niet buitengewoon onverstandig / risicovol juist java gebaseerde applicaties te kiezen voor gemiste extra pdf functionaliteit?
Immers is de malware twin-combi tussen pdf en java alom aanwezig.
Security patches voor java komen altijd later uit dan de exploits. Waarom dan dat risico genomen? Dat lijkt een beetje koorddanserij.

OpenOffice heb je denk ik niet meer nodig want daarvoor in de plaats is het alternatief LibreOffice gekomen.

Met LibreOffice ontekte ik vorig jaar al eens (voor de Mac weliswaar) dat met het verwijderen van wat code uit LibreOffice, zij prima te gebruiken was zonder irritante 'you-need-to-install-java'- pop-ups.
Sterker nog, onder bijvoorbeeld OS X Lion was het niet eens mogelijk het programma op te starten, wanneer je de java update / install niet wilde werd het opstartproces weer afgebroken.
In een zondagochtend uurtje ongemak eenvoudig opgelost (hoef je niet eens programmeur voor te zijn of python etc te beheersen).

Inmiddels is geloof ik dat probleem verholpen door LibreOffice zelf in nieuwere versies, je hebt java dan alleen nog nodig voor upload mogelijkheden, wiki,.. etc. (gebruik ik niet)

In voorkomende gevallen zie ik (voor de Mac) soms nog java gebaseerde applicaties voorbijkomen voor bijvoorbeeld web-upload-functies , CyberDuck bijvoorbeeld.

Java gebaseerde applicaties die iets met pdf of multimedia van doen hebben zou ik uit principe vanwege veiligheidsredenen proberen te vermijden.

Wanneer je toch per se java nodig hebt zou ik een dual boot systeem adviseren, een opstartsysteem met java en bijbehorende applicaties en een systeem zonder voor regulier gebruik.
12-06-2013, 18:41 door Spiff has left the building
Door Anoniem, 18:00 uur:
Ten aanzien van je java applicatie voorbeelden (maakt me niet uit of die voor de pc zijn).
Is het niet buitengewoon onverstandig / risicovol juist java gebaseerde applicaties te kiezen voor gemiste extra pdf functionaliteit? [...]
Het is ten minste onnodig,
en alleen om die reden al onverstandig.

Ik noemde gisteren (23:47 uur) wel die diverse voorbeelden van applicaties die geheel of gedeeltelijk afhankelijk zijn van Java, maar dat betekent niet dat ik die gebruik :-)

Intel Processor Diagnostic Tool ken ik, maar ik heb nooit enige behoefte gevoeld die te installeren,
de pdf-bewerkings applicaties PDFill PDF Tools, jPDF Tweak en PDFsam die ken ik, maar in plaats daarvan gebruik ik PDFTK Builder, als perfect Java-vrij alternatief,
OpenOffice heb ik al lang geleden vervangen door LibreOffice, en dat wat daarin (voor het moment) nog Java nodig heeft mis ik in het geheel niet.
Ik heb dan ook al lang geen Java meer geïnstalleerd staan.

Ik hoop dat ik je daarmee gerustgesteld heb ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.