Java-gebruikers in gevaar door patchbeleid Sun
Ondanks jarenlange kritiek uit de beveiligingswereld heeft Sun haar patchproces nog steeds niet aangepast, waardoor oude versies van Java gewoon op gepatchte systemen achterblijven en dat kan een ernstig risico voor internetgebruikers zijn. Zo was het in het verleden voor kwaadaardige websites mogelijk om via een oudere versie het systeem te infecteren, ook al had de gebruiker de laatste versie geïnstalleerd.
Wederom is er een lek gedicht waardoor aanvallers oudere, achtergebleven versies konden misbruiken. De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker John Heasman. Het lukte hem om het beveiligingsmodel van Sun te omzeilen en de browser en het besturingssysteem een oudere Java-versie te laten gebruiken, ook al was er een nieuwere versie aanwezig.
Om de aanval mogelijk te maken krijgt de gebruiker een venster te zien waarin staat dat de website een oudere Java-versie wil uitvoeren. Ook al kiest de gebruiker "Nee", dan kan de aanval nog steeds plaatsvinden, wat meteen het gevaar aantoont als oude software achterblijft. De reden dat Sun bewust miljoenen internetgebruikers in gevaar brengt komt doordat veel door bedrijven gebruikte en ontwikkelde applicaties alleen met een oudere versie werken. Het verwijderen van de oude versie is daarom onacceptabel. Een mogelijke oplossing is dat Sun met een consumenten en zakelijke versie van Java komt.
De aanval kan vergaande gevolgen hebben, aangezien ruim negentig procent van alle desktops Java gebruikt, ongeacht het besturingssysteem. Dat is meteen het mooie van de kwetsbaarheid, omdat een exploit onafhankelijk van browser en besturingssysteem kan werken. Heasman zal zijn exploit tijdens de Blackhat Conferentie in augustus demonstreren.
hadden ze ook allemaal verschillende java versies nodig. Ik
zelf uninstall altijd eerst de oude, voor ik de nieuwe install.
Dat kan tegenwoordig prima zonder rebooten, dus opzich gaat
dat wel prima.
dubbel werk dus.
niet op te lossen is. Zoals in het artikel te lezen
bewust miljoenen internetgebruikers in gevaar brengt komt doordat veel door
bedrijven gebruikte en ontwikkelde applicaties alleen met een oudere versie
werken. Het verwijderen van de oude versie is daarom onacceptabel.
Java, een prachtig initiatief welke zich helaas als een broddelwerkje
presenteerd.
http://prm753.bchea.org/JavaRa.html
gevaar brengt komt doordat veel door bedrijven gebruikte en
ontwikkelde applicaties alleen met een oudere versie werken.
Het verwijderen van de oude versie is daarom onacceptabel.
Een mogelijke oplossing is dat Sun met een consumenten en
zakelijke versie van Java komt."
Waarom is het zo lastig om een interpreter of compiler
backward compatible te houden?
Ik wil geen taalstrijd ontketenen (en zal ook niet op
taalkwesties ingaan), maar als voorbeeld: ik gebruik zelf
bij voorkeur python, en de code van meer dan tien jaar
geleden draait met de meest recente interpreter, en in die
tijd is daar veel in veranderd.
Het lijkt erop dat Sun zeker in het begin toch wat
essentiele ontwerpfoutjes heeft gemaakt.
ieder geval de keus aan de persoon die installeert: een schermpje "wilt u
oudere versies verwijderen ja/nee" lijkt me toch niet zo lastig? Zorg dat je dit
ook als parameter kunt meegeven aan de installer zodat beheerders dit bij het
uitrollen op het netwerk kunnen gebruiken en klaar ben je!
En overigens word ik ook kriebelig van het stiekem proberen binnen te
schuiven van Open Office met de JRE installatie - ik vind niet dat je dat kunt
maken met installaties van dit soort toch redelijk benodigde pakketjes.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.