Oracle dicht dinsdag 167 lekken, waarvan 19 in Java
Tijdens de eerste patchdinsdag van 2015 zal Oracle 167 beveiligingslekken in allerlei software dichten, waaronder Java, MySQL Server, VirtualBox en Database Server. De meeste kwetsbaarheden (35) worden verholpen in Fusion Middleware, gevolgd door de Sun Systems Products Suite (29).
In Java zal Oracle 19 lekken patchen, waarvan 14 door een aanvaller op afstand zijn te misbruiken. In dit geval kan een gebruiker worden aangevallen als hij met een kwetsbare Java-browserplug-in een kwaadaardige of gehackte website bezoekt. De ernst van de Java-lekken wordt met de maximaal haalbare CVSS-score van 10.0 beoordeeld. De patch voor het populaire VirtualBox zal 11 lekken verhelpen. De updates zijn vanaf morgenavond 20 januari te downloaden.
Wanneer zou er iemand daar een keer op het idee komen om de Java-Browserplugin als aparte/losse installer aan te bieden?
Dat zou in dit geval al een eindje schelen.
Maar niet genoeg!
Java niet nodig?=Java eraf.
Heel simpel eigenlijk, help je omgeving ermee.
Kleine moeite groot plezier.
...
Maar niet genoeg!
Java niet nodig?=Java eraf.
Heel simpel eigenlijk, help je omgeving ermee.
Kleine moeite groot plezier.
Met GPO zeer makkelijk te beheren.
Inderdaad overal vanaf halen en zodra iemand het nodig heeft nemen ze wel contact met je op.
De lekken in Java zijn nu wel gedicht maar stonden met score 10 al die tijd wagenwijd open!
Monsterlijk bezig
En daarbij zelf ook nog stug malware blijven leveren: de welbekende ongewenste browsertoolbars.
Tijd voor een wijdverbreide consumenten stickeractie :
Danger! Java Inside
Nee het het is geen normale patch ronde wat het aantal lekken dat verholpen moet worden wordt steeds groter en erger.
Nee, een CVSS-score van 10.0 is niet normaal, bij Java is het ook niet incidenteel meer.
Java wordt na elke patch ronde een steeds grotere gatenkaas.
Java wordt voor doorsnee thuisgebruikers een steeds grotere bedreiging.
Het beste wat je aan hulp voor doorsnee thuisgebruikers kan betekenen is onder meer even Java eraf kletteren.
Geen CVSS-score 10.0 bedreigingen meer
Geen Toolbar rotzooi meer
Fact : Privé computers zijn gewoon veel veiliger af zonder Java
Naieve aanname : zero days worden gemeld
Realiteit : zero days worden verkocht voor heel veel geld die worden echt niet openbaar gemaakt maar misbruikt.
Jammer voor het tellertje, die telt geen stilgehouden zerodays
Dat tellertje kende ik al, ik heb je er zelf ooit op geattendeerd bij wijze van aardigheidje (een 'java-kenner' moet je af en toe een beetje helpen aan informatie nietwaar).
WC-Oracle citeren
Dat is trieste werkelijkheid.
Privé computers zijn gewoon veel veiliger af zonder Java.
PUNT.
Ik zie de problemen ook niet. Sinds versie 7 kent Java een click-to-play, dus Java runt niet zonder dat je zelf toestemming geeft. Verder hebben veel browsers een eigen click-to-play, zodat ik op mijn PC altijd 2x toestemming moet geven. Eerst aan de browser (safari) en dan nog eens aan Java zelf, voordat een applet werkt.
Overigens geloof ik de bewering niet dat 97% van de enterprise desktops Java bevat. Apple heeft b.v. Java van alle desktops verwijderd met de introductie van Yosemite en ik betwijfel of veel gebruikers het terug geïnstalleerd hebben via Oracle.
Het enige waar ik me aan stoor dat sommige Java ontwikkelaars vasthouden aan de onveilige versie Java 6 en de Applets niet werken met nieuwere Java versies. Ik kreeg vorige week weer zo'n melding van 'missende Java 6' terwijl Java 8 aanwezig is. Maar dat is een fout van de ontwikkelaars dat ze de code te versie-afhankeljk gemaakt hebben.
De lekken in Java zijn nu wel gedicht maar stonden met score 10 al die tijd wagenwijd open!
ach,linux stond 20 jaar wagenwijd open en daar werd heel luchtig over gedaan door de aanbidders..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
