Oracle monsterpatch dicht 40 Java-lekken
Tijdens de Critical Patch Update (CPU) van juni heeft Oracle een update uitgebracht voor 40 beveiligingslekken in Java. 37 van de kwetsbaarheden zijn zo erg dat het bezoeken van een website volstaat om gehackt te worden. 34 van de lekken zijn alleen aanwezig in de client-versie, terwijl vier andere zich in zowel de server- als client-versie bevinden.
Ook een kwetsbaarheid in de Java-installer, die alleen lokaal te misbruiken was, behoort tot het verleden. Het veertigste lek dat via de CPU is opgelost betreft een kwetsbaarheid in de Javadoc tool en de documenten die het maakt. Sommige HTML pagina's die door een versie 1.5 of nieuwer zijn gemaakt, zijn kwetsbaar voor frame injectie.
Aanvallers kunnen HTML-bestanden die door Javadoc zijn gegenereerd van kwaadaardige frames voorzien, die bezoekers vervolgens naar een kwaadaardige website doorsturen. Updaten naar de nieuwste Java-versie kan via de Java Autoupdate functie of Java.com.
Bij Java zou het misschien zelfs beide kunnen zijn.
Ze moeten zich schamen dat ze zulk software uitbrengen.
Ik ben uiteraard helemaal voor updaten van software, maar kan dat nou niet gebruiksvriendelijker?
Ik ben uiteraard helemaal voor updaten van software, maar kan dat nou niet gebruiksvriendelijker?
Is dat het? Dus alleen als je de security best practice (niet werken in admin account) negeert kun je een update uitvoeren?
Tis dat ik paar apps heb waar ik toch echt Java voor moet gebruiken....
Ik ben uiteraard helemaal voor updaten van software, maar kan dat nou niet gebruiksvriendelijker?
Je kan ook gewoon een uninstall doen en dan de nieuwe versie installeren. Duurt niet veel langer bij 40 patches schat ik zo in.
Ze moeten zich schamen dat ze zulk software uitbrengen.
Dat ze het zo complex voor hunzelf maken dat er om de haverklap een exploit in het wild is, betekend alleen maar dat Oracle slecht is in coderen. Iemand die ook maar een beetje IT weet, wilt niet zulk software op enige pc hebben.
Een OS is veel complexer lijkt me (corrigeer me als dat nodig is, maar tuurlijk is dat niet nodig), toch is het dat critical updates wel (bijna) gelijk gepatched worden. Zie Microsoft als voorbeeld
Of wil je zeggen dat het normaal is dat 37(!) bekende exploits zolang gebruikt kunnen worden? Dan nog de zero days die ongetwijfeld er ook nog zijn.
Ik zie eerlijk gezegd niet waarom je java/Oracle aan het verdedigen ben.
Ze moeten zich schamen dat ze zulk software uitbrengen.
Dat ze het zo complex voor hunzelf maken dat er om de haverklap een exploit in het wild is, betekend alleen maar dat Oracle slecht is in coderen. Iemand die ook maar een beetje IT weet, wilt niet zulk software op enige pc hebben.
Een OS is veel complexer lijkt me (corrigeer me als dat nodig is, maar tuurlijk is dat niet nodig), toch is het dat critical updates wel (bijna) gelijk gepatched worden. Zie Microsoft als voorbeeld
Of wil je zeggen dat het normaal is dat 37(!) bekende exploits zolang gebruikt kunnen worden? Dan nog de zero days die ongetwijfeld er ook nog zijn.
Ik zie eerlijk gezegd niet waarom je java/Oracle aan het verdedigen ben.
Een soortgelijke vraag is recent ook al eens gesteld, wat om onduidelijke redenen dan een min oplevert. https://www.security.nl/artikel/46446/1/Oracle%3A_Java_wordt_steeds_veiliger.html
(of mogen citaten van oracle alleen selectief-positief gebruikt worden?)
Met de google tip van hier eens meegenomen levert de naam in combinatie met het woord java een zoekresultaat op van 511 hits.
Ervan uitgaande dat je dan toch wel expert bent op het java topic, heb ik nog steeds een openstaande vraag die ik bij herhaling graag stel aan experts.
Om de inhoud en constructieve, objectieve informatie, zodat anderen wellicht positief overtuigd kunnen worden van het onmisbare belang van Java (?).
Vraag :
Voor welke onmisbare desktop programma's, waarvoor geen goed alternatief is, heeft een gemiddelde gebruiker nu java nodig?
En is het een reden om java juist niet te verwijderen om veiligheidsredenen.
Als je het niet gebruikt is steeds updaten natuurlijk vervelend en kan je het in dat geval maar beter verwijderen toch?
De vraag gaat dus Niet over gebruik in bedrijven en Niet over mobiele telefoon applicaties
maar gewoon over gebruik op Desktops, Laptops of Notebooks en over applicaties die Nut hebben en Veilig zijn.
De openstaande vraag en meer is trouwens nog te vinden onder : https://www.security.nl/artikel/46649/1/Oracle_dicht_dinsdag_40_Java-lekken.html
Uit andere bronnen dan alleen java.com (of oracle) citeren helpt misschien bij het overtuigen (van geïnteresseerden).
(@ 20:11 Anoniem)
Dat klopt maar heeft in dit geval een andere reden.
Apple is op enig moment met Oracle overeengekomen het ontwikkelen / aanbieden van een eigen java implementatie te stoppen en aan Oracle over te laten.
Gevolg is dat Apple versie 6 nog ondersteunt vanaf OS X 10.6 Snow Leopard en Oracle de ontwikkeling en support voor haar rekening neemt vanaf Java versie 7.
Nu heb ik hier geen even beschikking over Mountain Lion maar ik vermoed dat of Java niet voor geïnstalleerd staat, of in geval van een upgrade naar Mountain Lion Java (6) is uitgeschakeld.
Wanneer Java 6 weer is geactiveerd gaat zij vermoedelijk gewoon mee met de reguliere update functie van je Mac zelf (te zien onder software update).
Java versie 7 moet je zelf ophalen en installeren, www.java.com/download/mac_download.jsp.
Versie 7 valt niet onder de support van Apple en is vermoedelijk daarom niet te zien onder de reguliere software update resultaten.
Zie links hieronder voor keuze in aanpak :
http://support.apple.com/kb/ht5648
http://osxdaily.com/2012/08/01/install-java-in-os-x-mountain-lion/
Spijker op de kop quote van OSXdaily :
Postpoging #2
Helaas wordt mijn (uitgebreide en naar ik dacht weloverwogen) antwoord niet geplaatst (andere bijdragen inmiddels wel, ik beschouw het niet plaatsen daarmee als definitief en ga het verder ook niet meer met terugwerkende kracht proberen).
Argumenten en afwegingen rondom gebruik van Java bewaar ik dan in delen voor een andere keer, om een constructief Java-topic boompje te planten... met een nieuwe aanleiding (wordt het wellicht ook door meer java-topic-geïnteresseerden gelezen).
;-)
Dat heb je dan soms als privacy boven online van mening wisselen gaat, want argumenten kunnen mijns inziens op zichzelf staan, daarvoor een account aanmaken vind ik wat mijl op zeven.
;-)
mvg 'JavAnoniem'
Excuses aan de redactie voor verkeerde conclusie aangaande moderatie,
per vergissing vermelde reactie onder een andere link (openstaande browsertab tab alhier) gepost (en dan zie je hem ook niet terug ;-) .
E.e.a is dus wel geplaatst, maar onder een ouder Oracle / Java bericht (d.d. 30.05.13 - 15:06 door Anoniem) :
https://www.security.nl/artikel/46446/1/Oracle%3A_Java_wordt_steeds_veiliger.html
Mocht iemand überhaupt oud java nieuws en bijbehorende reacties / inzichten nog lezen.
Aangehaalde argumenten (voors/tegens/oplossingen) komen vast nog eens bovendrijven / aan de orde bij een volgende patch-reactie-ronde
;-) .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.