image

Java uitschakelen doe je zo

woensdag 29 augustus 2012, 19:16 door Redactie, 27 reacties

Java is één van de populairste browser plug-ins op internet, maar ook één van de gevaarlijkste. In dit artikel gaat Security.nl in op de huidige problemen met Java, het verwijderen van de plug-in en eventuele alternatieven. Java, niet te verwarren met Javascript dat standaard door de browser wordt ondersteund, is ontwikkeld door Sun Microsystems, dat werd overgenomen door Oracle.

Inleiding
1. De huidige problemen met Java
2: Oude Java-versies verwijderen
3: Java in de browser uitschakelen
4: Alternatieve oplossingen


Via Java is het mogelijk om Java-applets te draaien. Java-applets zijn in principe gewoon programma's, zoals een online spel, de Secunia Online Inspector of verschillende online virusscanners, die allemaal Java vereisen. Ook werd Java standaard door OpenOffice geïnstalleerd, hoewel de nieuwste versie zonder wordt geleverd.

Voor het bekijken of gebruiken van de meeste websites is Java niet vereist. Volgens W3Techs gebruikt 4% van alle websites Java. Hoewel Java niet meer essentieel is, beschikt 70% van alle computers over de Java browser plug-in.

In Java 6 ondersteunden Sun/Oracle geen Address space layout randomization (ASLR) en Data Execution Prevention (DEP). Twee beveiligingsmaatregelen die het lastiger voor aanvallers moeten maken om beveiligingslekken in de software te misbruiken. Sinds Java 7 worden beide beveiligingsmaatregelen wel ondersteund.



Recent zijn er twee zero-day beveiligingslekken in Java ontdekt die aanvallers actief misbruiken om systemen te infecteren en waarvoor nog geen update beschikbaar is. De lekken bevinden zich in Java 7, wat de meest recente versie is. Het bezoeken van een kwaadaardige of gehackte website volstaat om besmet te raken. Zo wisten aanvallers op de website van Omroep West advertenties te plaatsen waarin een exploit voor de nieuwe Java-lekken verstopt zat.

De nu ontdekte aanvallen zijn gericht tegen Windows-gebruikers, maar de aanval werkt ook tegen computers met Mac OS X en Linux. Hoewel de aanval nu tegen Java 7 is gericht, zijn in het verleden ook talloze lekken in Java 6 ontdekt, die ook op grote schaal werden misbruikt. Microsoft luidde dan ook regelmatig de noodklok over de aanvallen op Java-gebruikers.

Naar aanleiding van de recente kwetsbaarheden, krijgen gebruikers, in afwachting op een update, het advies om Java te verwijderen of de plug-in in de browser uit te schakelen. Ook werd geadviseerd om Firefox NoScript of een tweede browser te gebruiken. Hieronder lopen we alle stappen en opties door.


Het eerste probleem met Java is dat in het verleden oudere versies bij de installatie van nieuwe versies bleven staan. Wie Java gebruikt moet dan ook controleren of er geen oude versies aanwezig zijn.
Ga naar Start > Configuratiescherm > Programma's > Programma's en Onderdelen.


Als Java is geïnstalleerd hoort hier één versie te staan. In het geval het meerdere versies zijn is het verstandig de oudste versies te verwijderen. Op dezelfde manier is Java ook in z'n geheel te verwijderen. Wat kan door met de rechtermuis op de Java-versie in kwestie te klikken.



Op dit moment ondersteunt Oracle twee Java versies, Java versie 6 en Java versie 7. In het geval van versie 6 is update 34 de meest recente versie, voor Java 7 zijn inmiddels 6 updates verschenen. Deze versies verschenen op 15 augustus. Oracle brengt elke twee maanden updates voor Java uit, waardoor de volgende patch op 16 oktober uitkomt. Als Oracle geen noodpatch uitbrengt, lopen Java-gebruikers met versie 7 zo'n zeven weken het risico om met malware besmet te raken.

Via deze pagina kun je controleren welke Java-versie je hebt.


Wil je Java blijven gebruiken of niet verwijderen, maar in afwachting van een update de browser plug-in uitschakelen, dan kan dit via de volgende manieren.

Java uitschakelen in Firefox
Ga naar Extra > Add-ons > Plug-ins
Kies nu bij Java Deployment Toolkit 7.0.60.24 en Java(TM) Platform SE7 U6 de optie uitschakelen. De plug-in is nu uitgeschakeld.


Java uitschakelen in Internet Explorer
Ga naar Extra > Invoegtoepassingen beheren
Kies nu bij Deployment Toolkit, Java(tm) Plug-in SSV Helper en Java(tm) Plug-in 2 SSV Helper de optie uitschakelen.



Java uitschakelen in Google Chrome
Ga naar Moersleutel > Instellingen > Geavanceerde instellingen weergeven... > Bij het kopje Plug-ins 'Afzonderlijke plug-ins uitschakelen > (zie screenshot)
Kies nu bij Java (2 files) - Versie x.x.x.x Next Generation Java Plug-in in x.x.x for Mozilla browsers de optie uitschakelen.


Java uitschakelen in Safari
Ga naar Bewerken > Voorkeuren > Beveiliging Verwijder nu het vinkje bij Activeer Java.


Om te testen of Java in de browser goed is uitgeschakeld heeft Rapid7 de website isjavaexploitable.com gelanceerd.


Chrome blokkeert standaard Java en vereist een extra click voordat Java-applets worden geladen, dit heet 'Click to Play'. De click moet op een zichtbaar onderdeel van de website plaatsvinden. Een verborgen iframe zal daardoor niet zo snel worden aangeklikt.

De optie is ook in Mozilla Firefox aanwezig, maar moet wel worden ingeschakeld. Type hiervoor in de adresbalk about:config en zoek bij het zoekveld naar de optie click_to_play. Vervolgens verschijnt bij Preference Name plugins.click_to_play. Verander hier de waarde, door dubbel te klikken, van False naar True.


NoScript
Een ander gehoord advies is het gebruik van Firefox NoScript. Bij veel drive-by downloads wordt JavaScript gebruikt om kwaadaardige code van een andere website te laden, iets wat NoScript standaard blokkeert. Als aanvallers de code op de gehackte website zelf plaatsen, zoals bij Nu.nl in maart van dit jaar gebeurde, zal NoScript geen bescherming bieden.

Tweede browser
Naast NoScript werd ook het gebruik van een tweede browser als alternatieve oplossing gehoord. Ook dit is geen waterdichte optie. Dit betekent ten eerste een extra browser, dus een extra programma om te beheren en up-to-date te houden. De website waarvoor je Java wil gebruiken, of de banners die daarop draaien, kunnen daarnaast zijn gecompromitteerd en zo alsnog de computer via de Java-exploit infecteren.

Update
Het wachten is dan ook op de update van Oracle. Java controleert zelf via een update feature of er nieuwe updates zijn. Zodra die er zijn laat Java dit weten via een pop-up en een klein vierkant logo in de taakbalk.


Het is echter aan de gebruiker om de update ook daadwerkelijk te installeren, aangezien dit niet automatisch gebeurt. Uit eerder onderzoek blijkt dat 60% tot 80% van de Java-gebruikers niet over de meest recente versie beschikt. Zodra de update van Oracle beschikbaar is zul je dit natuurlijk ook op Security.nl lezen.

Update: in eerste instantie stond vermeld dat OpenOffice standaard Java installeert, dit is niet meer bij recente versies het geval

Update 2: Oracle noodpatch voor Java is nu beschikbaar

Reacties (27)
29-08-2012, 19:25 door Anoniem
Een vraag: Als je een website met java tegenkomt krijg ik (altijd?) een vraag of ik de java applet wil toestaan.

Werken deze exploits ook zonder die toestemming?
29-08-2012, 20:46 door Anoniem
En safari?
[admin] Toegevoegd [/admin]
29-08-2012, 21:06 door Anoniem
Voor Internet Explorer zit het iets anders. Alleen uitschakelen in het plugin venster van IE is niet voldoende.

Zie hier een oplossing om dit in het Java Control Panel uit te schakelen (dat is de beste oplossing)

http://techlogon.com/2011/11/05/how-to-disable-java-in-ie/

Deze instelling is ook in het register te doen. Zoek in je registry op:

deze waarde kan je pushen om java in IE uit te schakelen :

Via de Key:
HKLM\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in\[versienummer]\
Edit hierin de Dword (32-bit) value:
UseJava2IExplorer (zet deze op 0)

Mocht je de setting niet kunnen vinden, doe dan een search actie in de Registry op "UseJava2IExplorer"

[admin] Als je ook de Deployment Toolkit uitschakelt is het niet meer mogelijk om Java applets te laden. Ook zegt isjavaexploitable.com dan dat Java in de browser is uitgeschakeld [/admin]
29-08-2012, 21:24 door Anoniem
Java is nergens goed voor. Gooi het weg. Bekijk alleen al die instructies hierboven en denk: dit moet je niet willen hebben.
29-08-2012, 22:12 door Anoniem
Legacy versions of OpenOffice.org (3.3 and below) included a JRE packaged with the download. The latest Apache OpenOffice 3.4 does not.

zie: http://www.openoffice.org/download/common/java.html
29-08-2012, 23:23 door Anoniem
Aanvulling op de laatste paragraaf "Update":

Probleem van de pop-up is dat er standaard maar 1x per maand gecontroleerd wordt of er een nieuwere versie beschikbaar is. In Configuratiescherm kun je dit aanpassen en 1x per week of liever nog 1x per dag controleren.

Uiteraard hou je het nieuws in de gaten dus als Oracle een nieuwe versie uitbrengt hoor je dat vanzelf via bijvoorbeeld Security.nl.
30-08-2012, 08:55 door Anoniem
Zoals hierboven aangegeven kun je beter gewoon java verwijderen aangezien het toch op weinig sites gebruikt wordt.

En nee alleen als je toestaat dat deze code wordt uitegevoerd loop je gevaar.
30-08-2012, 09:06 door Anoniem
Ja, deze exploits werken ook zonder die toestemming.
Java uitschakelen waar mogelijk is!
30-08-2012, 09:19 door Mysterio
Mooi artikel en overzichtelijk neergezet. Prima!
30-08-2012, 10:44 door BaseMent
En zo hoort het. Goed artikel. Ik ga het intern verspreiden!
30-08-2012, 11:31 door securbenik123321
ik heb Java Deployment Toolkit 6.0.310.5, maar ik zie hier dat er een nieuwere is (Java Deployment Toolkit 7.0.60.24) ?

als ik bij Firefox bij de add-onbeheerder bij plugins op updates controleer, zegt ie dat alles up to date is, klopt dit dan?

secunia geeft ook alles up to date aan.

groet ben.
30-08-2012, 11:43 door Anoniem
Het resultaat van een bezoek aan isjavaexploitable.com om te checken of je een kwetsbare java versie hebt moet
wel juist geinterpreteerd worden.

Ik kreeg zojuist met alleen Java 1.6.33 op mijn PC het volgende resultaat:

Congrats! You appear to be running a version that isn't vulnerable to publicly disclosed exploits.

Dit terwijl er wel al een 1.6.34 update is. Bovendien heeft men het over "publicly disclosed exploits".
Voor de nu bekend gemaakte zero days ben je dus pas veilig als je Java eraf gooit of uitschakeld.
30-08-2012, 12:43 door Anoniem
En opera?
30-08-2012, 13:25 door choi
@redactie

Een ander gehoord advies is het gebruik van Firefox NoScript. Bij veel drive-by downloads wordt JavaScript gebruikt om kwaadaardige code van een andere website te laden, iets wat NoScript standaard blokkeert. Als aanvallers de code op de gehackte website zelf plaatsen, zoals bij Nu.nl in maart van dit jaar gebeurde, zal NoScript geen bescherming bieden.

Dit klopt volgens mij niet. NoScript blokkeert in de default configuratie ook JavaScript op zgn. top-level sites. Dus tenzij Allow top-level sites by default staat ingeschakeld (Options>General), zal NoScript ook JavaScript die door de first-party site wordt geserveerd blokkeren.
30-08-2012, 13:27 door choi
Door Anoniem: En opera?
'opera:plugins' typen in de adresbalk en de Java plugins uitschakelen. Zorg dat plugins-on-demand ook ingeschakeld staat (Advanced>Content) voor wat extra veiligheid
30-08-2012, 13:33 door [Account Verwijderd]
[Verwijderd]
30-08-2012, 14:51 door Whoops
Door Anoniem: Werken deze exploits ook zonder die toestemming?
Nee

Door Anoniem: Ja, deze exploits werken ook zonder die toestemming.
Onzin
30-08-2012, 16:34 door Mysterio
Door rookie: Je hoort op de interwebs altijd veel haat jegens Java.

Als ik "these... these civilized people" moet geloven - die echt altijd en overal een mening over moeten hebben en dan met name over zaken waar zij totaal geen verstand van hebben en zij volgende week alweer vergeten zijn, omdat de smartphone-zombies in kwestie in de waan van de dag leven -, dan zou het het beste zijn "als Java helemaal vernietigd wordt".

<preacher-mode>
Laat mij dit zeggen.... Java is echt overal.... 9 van de 10 keer kun je het niet zien, maar Java is er (period). Er worden mooie dingen ontwikkeld met Java, de samenleving wordt draaiende gehouden door Java, er worden levens gered met Java en in oorlogen wordt Java ingezet om de hele boel met precisie te vernietigen.

http://www.youtube.com/watch?v=xWVxI6XZAuE

</preacher-mode>

En... zo zit er bijvoorbeeld ook Java in jouw sim-kaart, dus Java-haters haal nu als de wiedeweer die sim-kaart uit jouw smartphone, want anders verloochen jij jouzelf.

Juist omdat het zo belachelijk alom aanwezig is zou je van Oracle iets meer professionaliteit mogen verwachten. Het wordt hoog tijd dat ook daar flink wat concurrentie komt.
30-08-2012, 18:28 door [Account Verwijderd]
[Verwijderd]
30-08-2012, 21:04 door Anoniem
Er is een update beschikbaar versie 7 update 7.
Wat deze update fixt weet ik niet.
31-08-2012, 00:26 door Anoniem
Wat lopen we weer lekker achter.
30 Aug 12
Security Fix for Critical Java Flaw Released

Oracle has issued an urgent update to close a dangerous security hole in its Java software that attackers have been using to deploy malicious software. The patch comes amid revelations that Oracle was notified in April about this vulnerability and a number other other potentially unpatched Java flaws.
31-08-2012, 11:19 door choi
Door rookie: Java (de compiler, de Java class library en de virtual machine) zijn gewoon opensource, dus mensen kunnen lui en hard schreeuwen tegen Oracle, maar zij kunnen ook gewoon hun geschreeuw omzetten in daden en hun eigen implementatie schrijven, die bestaat trouwens ook al.

Vallen OpenJDK, IcedTea en Ceylon (waar Red Hat momenteel aan werkt) onder de definitie van een Java implementatie (ik ben geen ontwikkelaar dus ik vraag het voor de zekerheid)? Als dat zo is waarom worden deze niet breder toegepast?

Heeft dat misschien te maken met het feit dat Java weliswaar open source is, maar dat de licentie restricties oplegt voor het gebruik in closed source applicaties?
01-09-2012, 13:23 door Anoniem
Door Anoniem: Wat lopen we weer lekker achter.
30 Aug 12
Security Fix for Critical Java Flaw Released

Oracle has issued an urgent update to close a dangerous security hole in its Java software that attackers have been using to deploy malicious software

Ja helaas sluit deze alleen de hole die men op dit moment aan het gebruiken is en niet de 9 ofzo andere bekende holes.
Dus het is weer wachten op het volgende probleem.

Uitschakelen blijft het beste. Alleen zou het wel mooi zijn als een site als deze niet alleen screendumpjes voor de thuisgebruiker zou plaatsen maar ook oplossingen die door beheerders kunnen worden ingezet.
(group policy, registry keys, commandline opties e.d.)
01-09-2012, 21:54 door Marius
Door Anoniem: Er is een update beschikbaar versie 7 update 7.
Wat deze update fixt weet ik niet.

Ook die versie heeft zijn lekken (zelfs dezelfde lekken als de 6.30 heb ik gelezen). Deinstallatie is het beste want je wordt tegenwoodig toch serieus moe van al die lekken in met name java
03-09-2012, 19:47 door Anoniem
Hoewel in het artikel wordt gesproken over update 34, heb ik na controle gezien dat bij mij update 35 al geïnstalleerd is. Dat is ongeveer 2 dagen geleden gebeurd. Bij mij stond het Java-vignet inderdaad in het systeemvak met de mogelijkheid de update te installeren.
Verder vertrouw ik volledig op mijn virusscanner en ad-aware software. Toevallig gisteren bij ScanCircle nog een test gedaan en daaruit bleek dat mijn pc ruim voldoende tegen aanvallen van buitenaf beschermd is. En in het ergste geval heb ik weer iets te doen.
18-09-2012, 23:37 door dnmvisser
Heb twee weken geleden java geüninstalled en tot nu geen problemen.
Enige wat denk niet werkte vanwege geen java was een of andere foto resize applet op een site.
Dus waar hebben we het over.

Minder software = minder bugs.
12-01-2013, 15:33 door Anoniem
Ja leuk dus, geen java meer in de pc. Een hele zooi sites doen het dan niet meer. Ook ideal werkt niet meer en internetbankieren werkt niet meer omdat deze allemaal java gebruiken fijn hoor...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.