image

Oracle dicht dinsdag 167 lekken, waarvan 19 in Java

maandag 19 januari 2015, 10:55 door Redactie, 11 reacties

Tijdens de eerste patchdinsdag van 2015 zal Oracle 167 beveiligingslekken in allerlei software dichten, waaronder Java, MySQL Server, VirtualBox en Database Server. De meeste kwetsbaarheden (35) worden verholpen in Fusion Middleware, gevolgd door de Sun Systems Products Suite (29).

In Java zal Oracle 19 lekken patchen, waarvan 14 door een aanvaller op afstand zijn te misbruiken. In dit geval kan een gebruiker worden aangevallen als hij met een kwetsbare Java-browserplug-in een kwaadaardige of gehackte website bezoekt. De ernst van de Java-lekken wordt met de maximaal haalbare CVSS-score van 10.0 beoordeeld. De patch voor het populaire VirtualBox zal 11 lekken verhelpen. De updates zijn vanaf morgenavond 20 januari te downloaden.

Reacties (11)
19-01-2015, 15:36 door Anoniem
Java lek
Wanneer zou er iemand daar een keer op het idee komen om de Java-Browserplugin als aparte/losse installer aan te bieden?
Dat zou in dit geval al een eindje schelen.

Maar niet genoeg!
Java niet nodig?=Java eraf.
Heel simpel eigenlijk, help je omgeving ermee.
Kleine moeite groot plezier.
19-01-2015, 16:37 door Anoniem
Door Anoniem: Java lek
...

Maar niet genoeg!
Java niet nodig?=Java eraf.
Heel simpel eigenlijk, help je omgeving ermee.
Kleine moeite groot plezier.

Met GPO zeer makkelijk te beheren.
Inderdaad overal vanaf halen en zodra iemand het nodig heeft nemen ze wel contact met je op.
19-01-2015, 17:24 door [Account Verwijderd] - Bijgewerkt: 19-01-2015, 17:25
[Verwijderd]
19-01-2015, 17:25 door [Account Verwijderd]
[Verwijderd]
19-01-2015, 19:35 door Anoniem
Je kan zeggen wat je wil maar
"De ernst van de Java-lekken wordt met de maximaal haalbare CVSS-score van 10.0 beoordeeld."

Oracle is dus goed bezig en zit er bovenop!
Keer op keer blijkt weer hoe kwetsbaar je achteraf was met je Java installatie.
De lekken in Java zijn nu wel gedicht maar stonden met score 10 al die tijd wagenwijd open!

Monsterlijk bezig
"Nieuw record: monsterpatch voor 167 lekken - Oracle brengt het pleisteren van gaten tot nieuwe hoogten.
http://webwereld.nl/beveiliging/85114-nieuw-record-monsterpatch-voor-167-lekken

En daarbij zelf ook nog stug malware blijven leveren: de welbekende ongewenste browsertoolbars.
Tijd voor een wijdverbreide consumenten stickeractie :
Danger! Java Inside
19-01-2015, 21:01 door [Account Verwijderd] - Bijgewerkt: 19-01-2015, 21:06
[Verwijderd]
19-01-2015, 21:57 door Anoniem
Als het maar geen zero day lekken zijn dan is het toch een normale patch ronde?

Nee het het is geen normale patch ronde wat het aantal lekken dat verholpen moet worden wordt steeds groter en erger.
Nee, een CVSS-score van 10.0 is niet normaal, bij Java is het ook niet incidenteel meer.

Java wordt na elke patch ronde een steeds grotere gatenkaas.
Java wordt voor doorsnee thuisgebruikers een steeds grotere bedreiging.

Het beste wat je aan hulp voor doorsnee thuisgebruikers kan betekenen is onder meer even Java eraf kletteren.

Geen CVSS-score 10.0 bedreigingen meer
Geen Toolbar rotzooi meer

Fact : Privé computers zijn gewoon veel veiliger af zonder Java

Naieve aanname : zero days worden gemeld
Realiteit : zero days worden verkocht voor heel veel geld die worden echt niet openbaar gemaakt maar misbruikt.

Jammer voor het tellertje, die telt geen stilgehouden zerodays
Dat tellertje kende ik al, ik heb je er zelf ooit op geattendeerd bij wijze van aardigheidje (een 'java-kenner' moet je af en toe een beetje helpen aan informatie nietwaar).

WC-Oracle citeren
89% of Desktops (or Computers) in the U.S. Run Java
95% van de particuliere eigenaren van die desktops weet niet eens dat ze het brakke Jaava ongebruikt op die desktop hebben staan!
Dat is trieste werkelijkheid.

Privé computers zijn gewoon veel veiliger af zonder Java.
PUNT.
20-01-2015, 00:14 door [Account Verwijderd]
[Verwijderd]
20-01-2015, 09:57 door Briolet
Door Krakatau: Schakel de Java plug-in in de browser uit en klaar...

Ik zie de problemen ook niet. Sinds versie 7 kent Java een click-to-play, dus Java runt niet zonder dat je zelf toestemming geeft. Verder hebben veel browsers een eigen click-to-play, zodat ik op mijn PC altijd 2x toestemming moet geven. Eerst aan de browser (safari) en dan nog eens aan Java zelf, voordat een applet werkt.

Overigens geloof ik de bewering niet dat 97% van de enterprise desktops Java bevat. Apple heeft b.v. Java van alle desktops verwijderd met de introductie van Yosemite en ik betwijfel of veel gebruikers het terug geïnstalleerd hebben via Oracle.

Het enige waar ik me aan stoor dat sommige Java ontwikkelaars vasthouden aan de onveilige versie Java 6 en de Applets niet werken met nieuwere Java versies. Ik kreeg vorige week weer zo'n melding van 'missende Java 6' terwijl Java 8 aanwezig is. Maar dat is een fout van de ontwikkelaars dat ze de code te versie-afhankeljk gemaakt hebben.
20-01-2015, 10:24 door potshot
Door Anoniem:
Je kan zeggen wat je wil maar
"De ernst van de Java-lekken wordt met de maximaal haalbare CVSS-score van 10.0 beoordeeld."

Oracle is dus goed bezig en zit er bovenop!
Keer op keer blijkt weer hoe kwetsbaar je achteraf was met je Java installatie.
De lekken in Java zijn nu wel gedicht maar stonden met score 10 al die tijd wagenwijd open!

ach,linux stond 20 jaar wagenwijd open en daar werd heel luchtig over gedaan door de aanbidders..
20-01-2015, 10:59 door [Account Verwijderd] - Bijgewerkt: 20-01-2015, 11:00
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.