image

Noodpatch voor ernstig Java-lek

donderdag 15 april 2010, 12:10 door Redactie, 13 reacties

Sun heeft een noodpatch voor een zeer ernstig lek in Java uitgebracht, dat hackers op dit moment actief misbruiken voor het infecteren van internetgebruikers. Update 20 verhelpt drie beveiligingslekken in Java, waaronder een probleem in javawebstart. Of dit ook het lek is dat onderzoekers Tavis Ormandy en Ruben Santamarta ontdekten is onbekend, aangezien Sun geen toegang tot de bugmelding geeft. "Sommige bugs worden vanwege security redenen niet aan de Bug Database toegevoegd", zo laat het bedrijf weten.

Toch is het zeer aannemelijk dat het om de noodpatch gaat. Twee weken geleden bracht Sun Update 19 uit, die 27 beveiligingslekken in Java verhielp. Update 20 verscheen vier uur geleden op het web en is via Java.com te downloaden. Gebruikers krijgen dringend het advies de update te installeren, aangezien het lek actief voor drive-by download aanvallen misbruikt wordt.

Reacties (13)
15-04-2010, 13:12 door Anoniem
Heb de patch geinstalleerd, proof of concept exploit werkt niet meer.
R-
15-04-2010, 14:27 door Anoniem
Netjes, laatst zeiden ze nog dat het pas met de volgende patchronde gepatched zou worden.
15-04-2010, 15:49 door [Account Verwijderd]
[Verwijderd]
15-04-2010, 16:40 door Anoniem
@owiknowi

Wat een verspilde moeite zou dat zijn zeg, een "tweede internet"!. Ik heb momenteel geen java geinstalleerd, gaat perfect! Waarom heb je flash nodig om informatie te zoeken? Heel simpel, installeer het gewoon niet! "Informatie" is hedendaags nog steeds text based, niks verder bij nodig...
15-04-2010, 17:15 door Anoniem
Ik heb java al een tijdje geleden gedeinstalleerd. je hebt Java, zeker thuis, niet nodig. Of je moet zo graag java games spelen.
15-04-2010, 18:17 door [Account Verwijderd]
[Verwijderd]
15-04-2010, 18:20 door [Account Verwijderd]
[Verwijderd]
15-04-2010, 19:08 door Anoniem
Door owiknowi: Het is hoog tijd voor een tweede internet zoals ik al eens eerde liet weten:
1. voor de mensen die vooral leuk en gezellig willen met alle risico's van dien.
2. een informatief deel waar je, eventueel na registratie, zeker weet dat je zonder al die extra rommel (java, flash, cookies, e.d.) gewoon op zoek kunt naar de informatie die je nodig hebt.

Het idee van "graceful degradation" zou het op moeten lossen. Voor het web betekent dat dat de websitebouwers:
1) Een website maken die in kale HTML, zonder toeters en bellen, domweg werkt.
2) CSS gebruiken om het geheel fraaier te maken. Ondersteunt een browser dat niet dan krijg je de werkende maar minder mooie website uit 1) te zien.
3) Het Document Object Model (DOM) via JavaScript gebruiken om dynamiek in de pagina's in te brengen. Daar kan je Java, Flash en Silverlight aan toevoegen, en natuurlijk ook Ajax. Ondersteunt een browser dat niet dan krijg je de website uit 2) of 1) te zien.

Het mooie is dat je altijd een werkende website te zien krijgt. Via een OnLoad-event kan een JavaScript de pagina desgewenst volledig verbouwen als die geladen is. Het commentaarformuliertje waar ik nu in zit te typen zou gewoon via een ouderwetse 'input type=sumbit'-button die meteen een HTTP POST veroorzaakt werken. De JavaScript-knoppen die er nu staan zouden in die OnLoad-event in de plaats van deze ouderwetse buttons gezet worden. Iedereen die JavaScript aan heeft staan krijgt het te zien zoals het nu is, iedereen die het uit heeft staan krijgt iets simpelers wat nog steeds gewoon werkt. Ook een preview is langs die weg prima te implementeren, al zal die er misschien wat anders uitzien dan nu.

Als je deze manier van werken van begin af aan als uitgangspunt gebruikt dan kom je heel ver, en is dat tweede web (of bedoelde je echt een tweede internet, met een tweede DNS, een tweede emailinfrastructuur, een tweede usenet, aparte bekabeling...) overbodig. Helaas zijn de meeste mensen die webpagina's zijn gaan ontwikkelen zich hier helemaal niet van bewust, zijn hun opdrachtgevers zich hier niet van bewust, en kijkt iedereen die altijd voor de hoogste 'cool'-factor gaat je aan alsof je uit een toch niet zo heel erg parallel universum komt. En dit zijn de mensen die je tweede web binnen de kortste keren dezelfde kant op zullen sturen, want reken maar dat ze er wel aan mee gaan doen.

Maar ik leef met je mee, ik kan me ook aardig ergeren aan al die meuk die tegenwoordig over je heen wordt gestort.
15-04-2010, 19:21 door Anoniem
Door owiknowi: Zelfs de Open Source wereld gaat er nu noodgedwongen in mee. Beveilig je de browser dan werkt er weer een hoop niet, ook op dit forum niet...
Leg eens uit wat je hiermee bedoelt?
15-04-2010, 20:39 door peet1
Het was een ware slagveld....pffffffffffffff...zenuwen...ben ik ff blij met die noodpatch, maar niet heus...
15-04-2010, 23:01 door grizzler
Stuur mensen in Nederland eens niet naar een Engelse site, stelletje dwazen!

Gewoon via www.java.com gaan en NIET de in het artikel genoemde link gebruiken.
19-04-2010, 09:10 door [Account Verwijderd]
[Verwijderd]
19-04-2010, 09:30 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.