image

Oracle monsterpatch dicht 40 Java-lekken

woensdag 19 juni 2013, 09:31 door Redactie, 21 reacties

Tijdens de Critical Patch Update (CPU) van juni heeft Oracle een update uitgebracht voor 40 beveiligingslekken in Java. 37 van de kwetsbaarheden zijn zo erg dat het bezoeken van een website volstaat om gehackt te worden. 34 van de lekken zijn alleen aanwezig in de client-versie, terwijl vier andere zich in zowel de server- als client-versie bevinden.

Ook een kwetsbaarheid in de Java-installer, die alleen lokaal te misbruiken was, behoort tot het verleden. Het veertigste lek dat via de CPU is opgelost betreft een kwetsbaarheid in de Javadoc tool en de documenten die het maakt. Sommige HTML pagina's die door een versie 1.5 of nieuwer zijn gemaakt, zijn kwetsbaar voor frame injectie.

Aanvallers kunnen HTML-bestanden die door Javadoc zijn gegenereerd van kwaadaardige frames voorzien, die bezoekers vervolgens naar een kwaadaardige website doorsturen. Updaten naar de nieuwste Java-versie kan via de Java Autoupdate functie of Java.com.

Reacties (21)
19-06-2013, 09:44 door [Account Verwijderd]
Als je een patch uitbrengt die 40 lekken moet fixen, dan heb je of een slechte patchcyclus, of dan voldoet je software voor geen meter.
Bij Java zou het misschien zelfs beide kunnen zijn.
Ze moeten zich schamen dat ze zulk software uitbrengen.
19-06-2013, 13:21 door schele
Zijn we dan nu even een maandje verlost van dat jankende JAVA UPDATE ding in mn notification area? Waar ik dan altijd braaf op klik om vervolgens weer een of andere update error de krijgen halverwege...

Ik ben uiteraard helemaal voor updaten van software, maar kan dat nou niet gebruiksvriendelijker?
19-06-2013, 13:23 door Anoniem
Door schele: Zijn we dan nu even een maandje verlost van dat jankende JAVA UPDATE ding in mn notification area? Waar ik dan altijd braaf op klik om vervolgens weer een of andere update error de krijgen halverwege...

Ik ben uiteraard helemaal voor updaten van software, maar kan dat nou niet gebruiksvriendelijker?
't onding werkt alleen als je bent ingelogd met een adminaccount. Anders faalt 'ie zonder duidelijk aanwijsbare reden.
19-06-2013, 14:40 door [Account Verwijderd]
[Verwijderd]
19-06-2013, 15:01 door schele
Door Anoniem: 't onding werkt alleen als je bent ingelogd met een adminaccount. Anders faalt 'ie zonder duidelijk aanwijsbare reden.

Is dat het? Dus alleen als je de security best practice (niet werken in admin account) negeert kun je een update uitvoeren?
Tis dat ik paar apps heb waar ik toch echt Java voor moet gebruiken....
19-06-2013, 18:10 door vimes
Door schele: Zijn we dan nu even een maandje verlost van dat jankende JAVA UPDATE ding in mn notification area? Waar ik dan altijd braaf op klik om vervolgens weer een of andere update error de krijgen halverwege...

Ik ben uiteraard helemaal voor updaten van software, maar kan dat nou niet gebruiksvriendelijker?

Je kan ook gewoon een uninstall doen en dan de nieuwe versie installeren. Duurt niet veel langer bij 40 patches schat ik zo in.
19-06-2013, 19:03 door [Account Verwijderd]
[Verwijderd]
19-06-2013, 19:03 door [Account Verwijderd]
[Verwijderd]
19-06-2013, 19:34 door [Account Verwijderd]
Door Krakatau:
Door bbecko: Als je een patch uitbrengt die 40 lekken moet fixen, dan heb je of een slechte patchcyclus, of dan voldoet je software voor geen meter.
Of je maakt erg grote complexe software...

Door bbecko: Bij Java zou het misschien zelfs beide kunnen zijn.
Ze moeten zich schamen dat ze zulk software uitbrengen.
Hoezo? Waar baseer je dat oordeel precies op? Welke vergelijkbaar grote en complexe software heeft minder bugs?

Dat ze het zo complex voor hunzelf maken dat er om de haverklap een exploit in het wild is, betekend alleen maar dat Oracle slecht is in coderen. Iemand die ook maar een beetje IT weet, wilt niet zulk software op enige pc hebben.

Een OS is veel complexer lijkt me (corrigeer me als dat nodig is, maar tuurlijk is dat niet nodig), toch is het dat critical updates wel (bijna) gelijk gepatched worden. Zie Microsoft als voorbeeld
Of wil je zeggen dat het normaal is dat 37(!) bekende exploits zolang gebruikt kunnen worden? Dan nog de zero days die ongetwijfeld er ook nog zijn.

Ik zie eerlijk gezegd niet waarom je java/Oracle aan het verdedigen ben.
19-06-2013, 20:11 door Anoniem
't onding werkt alleen als je bent ingelogd met een adminaccount. Anders faalt 'ie zonder duidelijk aanwijsbare reden.
Dat is ook afhankelijk van het OS. Als je op een Mac met Snow Leopard en user account een update doet, wordt Java automatisch ge-update. (na intikken van een admin wachtwoord) Als je echter onder Mountain Lion werkt met user account, krijg je niet een te zien dat er een Java update is.
19-06-2013, 20:28 door Anoniem
Door bbecko:
Door Krakatau:
Door bbecko: Als je een patch uitbrengt die 40 lekken moet fixen, dan heb je of een slechte patchcyclus, of dan voldoet je software voor geen meter.
Of je maakt erg grote complexe software...

Door bbecko: Bij Java zou het misschien zelfs beide kunnen zijn.
Ze moeten zich schamen dat ze zulk software uitbrengen.
Hoezo? Waar baseer je dat oordeel precies op? Welke vergelijkbaar grote en complexe software heeft minder bugs?

Dat ze het zo complex voor hunzelf maken dat er om de haverklap een exploit in het wild is, betekend alleen maar dat Oracle slecht is in coderen. Iemand die ook maar een beetje IT weet, wilt niet zulk software op enige pc hebben.

Een OS is veel complexer lijkt me (corrigeer me als dat nodig is, maar tuurlijk is dat niet nodig), toch is het dat critical updates wel (bijna) gelijk gepatched worden. Zie Microsoft als voorbeeld
Of wil je zeggen dat het normaal is dat 37(!) bekende exploits zolang gebruikt kunnen worden? Dan nog de zero days die ongetwijfeld er ook nog zijn.

Ik zie eerlijk gezegd niet waarom je java/Oracle aan het verdedigen ben.
Dan moet je z'n naam even googlen (wikipedia). Je hebt het hier namelijk tegen een Javaan...
19-06-2013, 22:05 door [Account Verwijderd]
[Verwijderd]
20-06-2013, 02:24 door [Account Verwijderd]
[Verwijderd]
20-06-2013, 02:25 door [Account Verwijderd]
[Verwijderd]
20-06-2013, 20:32 door Anoniem
@ 02:24 Krakatau

Ik zie eerlijk gezegd niet waarom je java/Oracle aan het verdedigen ben.

Een soortgelijke vraag is recent ook al eens gesteld, wat om onduidelijke redenen dan een min oplevert. https://www.security.nl/artikel/46446/1/Oracle%3A_Java_wordt_steeds_veiliger.html
(of mogen citaten van oracle alleen selectief-positief gebruikt worden?)

Met de google tip van hier eens meegenomen levert de naam in combinatie met het woord java een zoekresultaat op van 511 hits.
Ervan uitgaande dat je dan toch wel expert bent op het java topic, heb ik nog steeds een openstaande vraag die ik bij herhaling graag stel aan experts.
Om de inhoud en constructieve, objectieve informatie, zodat anderen wellicht positief overtuigd kunnen worden van het onmisbare belang van Java (?).

Vraag :
Voor welke onmisbare desktop programma's, waarvoor geen goed alternatief is, heeft een gemiddelde gebruiker nu java nodig?
En is het een reden om java juist niet te verwijderen om veiligheidsredenen.
Als je het niet gebruikt is steeds updaten natuurlijk vervelend en kan je het in dat geval maar beter verwijderen toch?

De vraag gaat dus Niet over gebruik in bedrijven en Niet over mobiele telefoon applicaties
maar gewoon over gebruik op Desktops, Laptops of Notebooks en over applicaties die Nut hebben en Veilig zijn.

De openstaande vraag en meer is trouwens nog te vinden onder : https://www.security.nl/artikel/46649/1/Oracle_dicht_dinsdag_40_Java-lekken.html

Uit andere bronnen dan alleen java.com (of oracle) citeren helpt misschien bij het overtuigen (van geïnteresseerden).
21-06-2013, 00:30 door Anoniem
Mac & Java

(@ 20:11 Anoniem)

Als je op een Mac met Snow Leopard en user account een update doet, wordt Java automatisch ge-update. (na intikken van een admin wachtwoord) Als je echter onder Mountain Lion werkt met user account, krijg je niet een te zien dat er een Java update is.

Dat klopt maar heeft in dit geval een andere reden.
Apple is op enig moment met Oracle overeengekomen het ontwikkelen / aanbieden van een eigen java implementatie te stoppen en aan Oracle over te laten.

Gevolg is dat Apple versie 6 nog ondersteunt vanaf OS X 10.6 Snow Leopard en Oracle de ontwikkeling en support voor haar rekening neemt vanaf Java versie 7.
Nu heb ik hier geen even beschikking over Mountain Lion maar ik vermoed dat of Java niet voor geïnstalleerd staat, of in geval van een upgrade naar Mountain Lion Java (6) is uitgeschakeld.

Wanneer Java 6 weer is geactiveerd gaat zij vermoedelijk gewoon mee met de reguliere update functie van je Mac zelf (te zien onder software update).

Java versie 7 moet je zelf ophalen en installeren, www.java.com/download/mac_download.jsp.
Versie 7 valt niet onder de support van Apple en is vermoedelijk daarom niet te zien onder de reguliere software update resultaten.

Zie links hieronder voor keuze in aanpak :

http://support.apple.com/kb/ht5648
http://osxdaily.com/2012/08/01/install-java-in-os-x-mountain-lion/

Spijker op de kop quote van OSXdaily :

Many Mac users won’t ever need to use Java and for the average person it may be best left uninstalled. Disabling java or leaving it uninstalled remains a decent security tip to protect a Mac against some of the rare trojans and viruses floating around out there.
21-06-2013, 11:47 door [Account Verwijderd]
[Verwijderd]
21-06-2013, 12:19 door [Account Verwijderd]
[Verwijderd]
21-06-2013, 17:57 door Anoniem
@ 12:19 Krakatau

Postpoging #2

Helaas wordt mijn (uitgebreide en naar ik dacht weloverwogen) antwoord niet geplaatst (andere bijdragen inmiddels wel, ik beschouw het niet plaatsen daarmee als definitief en ga het verder ook niet meer met terugwerkende kracht proberen).

Argumenten en afwegingen rondom gebruik van Java bewaar ik dan in delen voor een andere keer, om een constructief Java-topic boompje te planten... met een nieuwe aanleiding (wordt het wellicht ook door meer java-topic-geïnteresseerden gelezen).

;-)
Dat heb je dan soms als privacy boven online van mening wisselen gaat, want argumenten kunnen mijns inziens op zichzelf staan, daarvoor een account aanmaken vind ik wat mijl op zeven.
;-)

mvg 'JavAnoniem'
22-06-2013, 02:08 door Anoniem
Correctie door 17:57 Anoniem

Excuses aan de redactie voor verkeerde conclusie aangaande moderatie,
per vergissing vermelde reactie onder een andere link (openstaande browsertab tab alhier) gepost (en dan zie je hem ook niet terug ;-) .

E.e.a is dus wel geplaatst, maar onder een ouder Oracle / Java bericht (d.d. 30.05.13 - 15:06 door Anoniem) :
https://www.security.nl/artikel/46446/1/Oracle%3A_Java_wordt_steeds_veiliger.html

Mocht iemand überhaupt oud java nieuws en bijbehorende reacties / inzichten nog lezen.
Aangehaalde argumenten (voors/tegens/oplossingen) komen vast nog eens bovendrijven / aan de orde bij een volgende patch-reactie-ronde
;-) .
22-06-2013, 13:50 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.