Java ook gevaarlijkste plugin voor bedrijven

20-10-2010,11:47 doorRedactie

Niet alleen voor consumenten, ook voor bedrijven is Java de gevaarlijkste plugin, zo blijkt uit onderzoek van Qualys. Volgens het bedrijf heeft 80% van alle werkstations Java geïnstalleerd, en daarvan is ruim 40% lek. "Daarmee is het de kwetsbaarste plugin van allemaal en geeft malware een uitstekende kans om zichzelf te installeren en de aangevallen machine over te nemen", aldus CTO Wolfgang Kandek. In vergelijking zit het aantal lekke Adobe Reader plugins iets boven de 30%.

Een mogelijke oplossing is volgens Kandek het toevoegen van Java aan bestaande, geautomatiseerde update processen. "Het zou ideaal zijn als Oracle/Sun met Microsoft kan samenwerken om het bewezen en robuuste WSUS update proces te gebruiken om Java patches te distribueren. Als dit mechanisme naar alle grote softwareleveranciers wordt uitgebreid, zou het internet voor iedereen stuk veiliger worden", besluit Kandek.

Nep-virusscanner negeert IE-gebruikers

"Hackers kunnen vliegtuig laten crashen"

Reacties

20-10-2010,

12:32 door

Bitwiper

+1 Rating:

Quote deze reactie | Reactie niet OK

Ah, in http://laws.qualys.com/2010/10/java-vulnerabilities-and.html staat onder meer:

Through our BrowserCheck (https://browsercheck.qualys.com/) application we have collected data that shows that over 80% of all visiting workstations have Java installed. Of these machines over 40% run a version of Java that has a critical vulnerability, making it the most vulnerable plug-in of all and giving the malware a excellent chance to install itself and control the targeted machine.

Ik weet niet zo veel van statistiek maar volgens mij hoor je, bij de presentatie van dit soort gegevens, te vermelden over welke aantallen bezoekers van die site je het hebt. Bovendien verwacht ik dat slechts mensen met een bepaalde interesse dit soort "browserchecks" uitvoeren waardoor een vertekend beeld van de werkelijkheid kan optreden.

Net zelf even geprobeerd: eerst krijg ik de melding "Javascript Not Enabled". Na het aanzetten van Javascript wil Qualys dat ik een Firefox plugin installeer... Dacht het niet. Hoeveel mensen zullen deze test uiteindelijk wel hebben uitgevoerd?

Wel ben ik het met Kandek eens dat Microsoft al lang geleden voor een generiek update-mechanisme voor third-party applicaties in haar besturingssystemen had moeten zorgen; immers Linux distro's tonen al jaren aan dat zoiets mogelijk is (Microsoft blijkt niet eens in staat haar eigen Windows Mobile besturingsysteem van updates te voorzien, zie https://secure.security.nl/artikel/34699/1/WinMobile_update_werkt_niet%3F.html).

Als Microsoft om te beginnen de m.i. totaal zinloze functionaliteit in het XPSP3 control panel "Add or remove programs" (NL: "Software") applet, die zou moeten vermelden hoe vaak een applicatie is gebruikt (iets dat in mijn ervaring zelden klopt), zou vervangen door "is up-to-date" / "an update is available", dan zou er m.i. al veel gewonnen zijn.

Ik kijk net nog even, van Mozilla Firefox (waarvan, terwijl ik dit commentaar tik gebruikmakend van die browser, een popupje verschijnt dat een update naar Firefox 3.6.11 beschikbaar is), meldt Microsoft dat Firefox "rarely" wordt gebruikt.... Absurd. (Mogelijk dat Microsoft alleen het gebruik door "Administrator" meet - en dat ben ik niet).

13:12 door

Anoniem

+0 Rating:

Wat denk je van Java deinstalleren als dit niet nodig is. Ik kan me niet voorstellen dat dit voor 80% van de werkstation NOODZAKELIJK is.

13:17 door

Wel ben ik het met Kandek eens dat Microsoft al lang geleden voor een generiek update-mechanisme voor third-party applicaties in haar besturingssystemen had moeten zorgen

Voor Linux is niemand verantwoordelijk. Voor Windows wel. Als er dus malware via een update wordt verspreid dan is Microsoft hier (mede-)aansprakelijk voor. En voor de inmiddels miljoenen Windows applicaties is het geen doen om deze allemaal te controleren. Zie ook recentelijk de problemen met een aantal 'Apps' in Apples App Store.

Het lijkt mij dat bedrijven gewoon goed personeel moeten inhuren. Nog steeds onbegrijpelijk: op 80% van de zakelijke computers Java!

16:19 door

[q]Wel ben ik het met Kandek eens dat Microsoft al lang geleden voor een generiek update-mechanisme voor third-party applicaties in haar besturingssystemen had moeten zorgen; immers Linux distro's tonen al jaren aan dat zoiets mogelijk is [/q]

Zolang Microsoft software makers dat niet willen hoeft Microsoft helemaal niks. Moet toegeven in mijn Ubuntu update tool zit het allemaal ingebakken zeker makelijk ben daar ook erg blij mee. Maar helaas moet je bij de software makers aankloppen en niet bij Microsoft. Secunia is er ook al mee bezig geweest of is er nu mee bezig. Maar het is een juridisch probleem niet een technisch probleem.

Maar je zou onderhand wel eens een keer mogen afvragen of daar niet verandering in moet komen.

17:33 door

[quote][i]Door Anoniem: [/i][quote]
Wel ben ik het met Kandek eens dat Microsoft al lang geleden voor een generiek update-mechanisme voor third-party applicaties in haar besturingssystemen had moeten zorgen
[/quote]

et voila, zoeits bestaat al, bijvoorbeeld :
Secunia Corporate Software Inspector (CSI)
integrated with Microsoft WSUS for 3rd Party Patch Management
http://secunia.com/vulnerability_scanning/corporate/wsus

Kan helaas (nog) niets zeggen over (software) robuuustheid, configureerbaarheid, beheer(s)baarheid i.s.m. WSUS, veelbelovend is het wel.

gr,
Erwin

17:56 door

Door Anoniem (13:17):

Ik zeg nergens dat Microsoft die updates ook moet gaan verspreiden. Het grooste probleem is m.i. dat mensen helemaal niet weten dat ze risico's lopen door verouderde software op hun PC (de meeste XP gebruikers weten niet eens dat er zoiets bestaat als "Microsoft Update" i.p.v. "Windows Update" en missen dus bijv. Office patches).

Door Anoniem (16:19):Zolang Microsoft software makers dat niet willen hoeft Microsoft helemaal niks.

Als Microsoft een API zou bieden waarmee elke geinstaleerde applicatie een URL registreert waarvandaan actuele versieinformatie bij de leverancier opgehaald kan worden, en die applicatie een gestandaardiseerde call-back functie biedt voor het opvragen van de actueel geinstalleerde versie, zouden we al een heel eind zijn. Bij mijn weten bestaat zoiets nu niet.

In het control-panel applet dat ik eerder noemde zou bij elke applicatie een "update now" knop kunnen verschijnen bij geconstateerde versie-verschillen. Indrukken daarvan kan dan de update-functie in de betreffende applicatie aanroepen, daar heb je verder Microsoft niet meer voor nodig (en ligt de verantwoordelijkheid voor die keuze bij de gebruiker en de softwaremaker). Ik zie geen enkele reden waarom softwaremakers hier geen gebruik van zouden maken.

In plaats daarvan duurt het inloggen onder Windows steeds langer doordat er dan (naast de geheugenvretende wuauclt.exe) allerlei "update-check-apps" zoals AdobeARM.exe en jusched.exe draaien (voor die laatste twee en andere meuk zie de HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ registry-key).

Als ik bij iemand thuis de status van z'n PC wil checken moet ik belachelijk veel moeite doen om vast te stellen wat er allemaal is geinstalleerd, wat daarvan de versie is, en of deze up-to-date is. Waarom kan dat niet met 1 druk op een knop? Waarom zie ik in het "Security Center" applet alles op groen staan, de virusscanner melden "You are fully protected" terwijl de betreffende PC feitelijk zo lek kan zijn als een mandje?

Als betalende klanten moeten we net zolang zeuren tot we dit soort noodzakelijke functionaliteit krijgen, waarbij we ons niets moeten aantrekken van softwaremakers die "iets niet willen" of die naar elkaar gaan zitten wijzen!

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login