image

Java-haat groeit na nieuwe patch

donderdag 16 februari 2012, 09:58 door Redactie, 29 reacties

Oracle heeft een belangrijke beveiligingsupdate voor Java-gebruikers uitgebracht, maar de roep om de software in z'n geheel te verwijderen wordt steeds sterker. Sinds de tweede helft van vorig jaar raken steeds meer internetgebruikers besmet via Java-lekken. Iets waar Microsoft meerdere keren de noodklok over luidde. Het gaat om kwetsbaarheden waar al een patch voor beschikbaar is, maar veel gebruikers installeren die niet. Sinds de opkomst van de beruchte Java Rhino-exploit, is de software van Oracle voor bijna 80% van alle drive-by download infecties verantwoordelijk.

Het Finse F-Secure riep eind vorig jaar al dat Java schadelijk voor Windows-computers is. Daarnaast zou het voor de meeste websites ook niet nodig zijn. Ook IT-journalist Brian Krebs voert al geruime tijd een kruistocht tegen Java en daar sluit het Franse beveiligingsbedrijf VUPEN zich bij aan. Gisteren verscheen er een nieuwe beveiligingsupdate die veertien lekken in Java-producten verhelpt. "Installeer de patch zo snel als mogelijk, of nog beter, verwijder Java", Twitterde VUPEN naar de zesduizend volgers.

Aanvalsgolf
De lekken zijn zo ernstig dat het bezoeken van een gehackte of kwaadaardige website volstaat om met malware besmet te raken. De Franse beveiliger krijgt dan ook bijval van Ryan Narraine van Kaspersky Lab. "Als je nog steeds niet Java hebt verwijderd om het aanvalsoppervlak op je computer te verkleinen, heb je nu veertien nieuwe redenen van Oracle Sun gekregen." Ook Narraine wijst op de "ongekende aanvalsgolf" die op dit moment via Java-lekken plaatsvindt.

Reacties (29)
16-02-2012, 10:06 door FSF-Moses
Zolang commerciele switches en routers nog gebruik maken van java voor het beheers-interface zal ik java gewoon installeren en ook bijhouden qua updates. Ik ben bang daat daar nog al eens aan voorbij wordt gegaan...

Oke een aantal hier gaan nog via Telnet maar geen SSH jammer genoeg...
16-02-2012, 10:24 door Anoniem
Een beetje beheerder heeft helemaal geen beheersinterface nodig. Die gaat gewoon via de CLI.
@FSF-Moses: Telnet? Dat moeten wel hele prehistorische systemen zijn.
16-02-2012, 10:29 door jaapd
De lekken worden veroorzaakt doordat Java in de browser gebruikt wordt. Voor het echte werk op servers blijft Java natuurlijk onontbeerlijk, maar daar is een goed LCM ook essentieel.
MS komt het natuurlijk prima uit dat Java een slechte naam krijgt, zij willen graag dat .Net gebruikt wordt voor web applicaties.
16-02-2012, 11:06 door RickDeckardt
beheersen en beheren hebben een geheel andere betekenis. Het is daarom ook beheer-interface. </taalnazi>
16-02-2012, 11:13 door Anoniem
Ik denk idd dat het gebruik van Java zich in browser enkel nog gaat beperken tot legacy beheersapplicaties (Java Webstart).
De trend is toch wel heel sterk naar markuplanguages en javascript.

Op de desktop en met name de server zal Java nooit (voorzover er zoiets als nooit bestaat in ICT land) verdwijnen.

Het grote probleem is ook qua browsers niet zozeer java, maar eigenlijk de pluginarchitectuur die feitelijk een directe voordeur naar je systeem vormt, hoewel er tegenwoordig natuurlijk ook steeds betere sandboximplementaties zijn.
16-02-2012, 11:15 door [Account Verwijderd]
[Verwijderd]
16-02-2012, 11:36 door fluffyb53
Door Peter V:
Door FSF-Moses: Zolang commerciele switches en routers nog gebruik maken van java voor het beheers-interface zal ik java gewoon installeren en ook bijhouden qua updates. Ik ben bang daat daar nog al eens aan voorbij wordt gegaan...

Oke een aantal hier gaan nog via Telnet maar geen SSH jammer genoeg...
Het gaat hier om gewone PC's van computergebruikers waar Java op zit en die je het beste eraf kunt halen. Dat is althans de rode draad van het bovenstaande betoog.

En wat systeembeheerders met hun Routers en Switches doen, dat is natuurlijk hun zaak.

Inderdaad. Maar als een gebruiker bv Openoffice installeert is er meestal een verouderde Java-versie onderdeel van de installatie. Ondanks het feit de java reeds op de pc gëinstalleerdt is.
16-02-2012, 11:41 door FSF-Moses
Door Anoniem: Een beetje beheerder heeft helemaal geen beheersinterface nodig. Die gaat gewoon via de CLI.
@FSF-Moses: Telnet? Dat moeten wel hele prehistorische systemen zijn.

Klopt! 1x goed ingesteld en je hoeft er in princiep niet weer naar om te kijken tenzij er een firmware update komt.
Geen idee of deze oud zijn: HP/ProCurve 2610-48
Ze doen de job hier iig goed en zonder problemen op het netwerk van de lagere school ;)

[edit]
Voor eindgebruikers zou java eigenlijk niet nodig hoeven te zijn. Ik kom echter nog wel een java-counters tegen O_o of van die online-games welke Java nodig hebben.
Ik heb het lokaal (thuis) niet geinstalleerd maar hier dus alleen voor de switches (op 1 machine). De PC's voor de leerlingen en docenten hebben ook geen Java geinstalleerd.
[/edit]
16-02-2012, 11:57 door Anoniem
Door Anoniem: @FSF-Moses: Telnet? Dat moeten wel hele prehistorische systemen zijn.

Dat zijn meestal systemen met hele lichte processoren. Daarvan verwacht de fabrikant dat die de kracht missen om versleuteling toe te passen.

Peter
16-02-2012, 12:19 door spatieman
haat tegen java??
wat tegen de haat van PDF en flash..
16-02-2012, 12:47 door FSF-Moses
Ik denk dat je voor elke van de eerder genoemde extensie (zal ik het maar even noemen voor het gemak) voor en tegenstanders hebt. Of je nu een hekel hebt aan Java, Flash, PDF of wat dan maar ook, er zullen altijd mensen zijn die het wel fijn/prettig vinden om er gebruik van te maken of mensen die het verschikkelijk vinden.

Nu DHTML steeds meer gebruikt wordt als vervanger voor Flash (als ik het goed heb) zie je ook steeds meer performance problemen bij oudere hardware. Voor de meesten is dit echter niet onoverkomelijk maar degenen die een niet zo rijkelijk gevulde beurs hebben en daarom nog met wat oudere systemen werken, lopen tegen het probleem aan dat sommige sites wellicht trager worden.

Een beetje een lullig voor beeld: Dumpert.nl is (voor zever ik heb kunnen zien) overgegaan op DHTML voor het weegeven van de gehoste filmpjes. Je kunt zien dat op de wat oudere hardware dit qua performance probleemen begint op te leveren. Als je geen flash installerd moet je weer een andere player installeren welke misschien ook wel weer veiligheidsproblemen met zich mee brengt. Lastig maar overkomelijk.Is DHTML dan ook iets om te haten?

Hetzelfde geldt voor websites welke rijkelijk gebruik maken van Flash. Oudere hardware -> traag. Nieuwe hardware, (nog) geen probleem.

Ik denk zelf dat het veelal een persoonlijke voorkeur is van de persoon in kwestie. Je kunt tenslotte niet iedereen bij maken maar het lukt helaas ook niet om iedereen zo ver te krijgen dat systemen de benodigde updates krijgen (of nieuwere hardware aanschaffen).

just my two cents...
16-02-2012, 12:51 door [Account Verwijderd]
[Verwijderd]
16-02-2012, 12:52 door FSF-Moses
Misschien bepaalde scherm-animaties binnen de applicatie zelf, zoals de hulp-functie? Geen idee om heel eerlijk te zijn.
16-02-2012, 13:05 door [Account Verwijderd]
[Verwijderd]
16-02-2012, 15:59 door Anoniem
Ik ga er gemakshalve vanuit dat ongeveer hetzelfde geldt voor Libreoffice.
Bij mij begint LibreOffice al te piepen bij het openen van de font-lijst (als er geen Java JRE aanwezig is). Dat is nog de enige reden waarom ik Java op mijn systeem heb staan.
@FSF-Moses
Je moet je wat beter verdiepen in de materie. De term DTHML wordt tegenwoordig niet meer gebruikt, maar ik neem aan dat je op HTML5 met het video element doelt. In dat geval heb je geen extra player meer nodig, maar zit de codec in de browser verwerkt. Deze kan dus ook niet verouderd raken, mits de browser automatisch geüpdatet wordt.
Oudere machines zouden juist minder moeite moeten hebben met een HTML5 videootje dan met een Flash filmpje. Bij mij scheelt dit 30-40% CPU load op mijn pc-tje uit 2004.
16-02-2012, 18:05 door FSF-Moses
@Vandaag,15:59 door Anoniem:

Ja dat bedoelde ik eigenlijk. Bedankt voor je correctie.
16-02-2012, 18:55 door [Account Verwijderd]
[Verwijderd]
16-02-2012, 20:14 door Spiff has left the building
Door Anoniem, 15;59 uur: Bij mij begint LibreOffice al te piepen bij het openen van de font-lijst (als er geen Java JRE aanwezig is). Dat is nog de enige reden waarom ik Java op mijn systeem heb staan.
Wat merkwaardig.
Bedoel je met de font-lijst de dropdown-menu's met de lettertypen, in onder meer Writer, of bedoel je een ánder soort font-lijst ergens in LibreOffice?
Ik kan de dropdown-menu's met de lettertypen prima gebruiken zónder geïnstalleerde Java JRE, tot en met de nieuwe LibreOffice 3.5.0.
Kaart het eens aan op een van de LibreOffice lists, misschien zit je probleem in een heel andere factor en kent iemand een oplossing zónder JRE.
16-02-2012, 22:21 door [Account Verwijderd]
[Verwijderd]
16-02-2012, 23:29 door Spiff has left the building
Door Krakatau:
Wacht even, je moet er ook afgooien:

- Internet Explorer;
- ProFTPD;
- Adobe Flash;
- Exim;
- Windows;
- Adobe Reader.
Nee joh (m/v),
dat waren alleen maar VUPEN's Latest Research Blog Entries.
Het veiligste is alles eraf gooien ;-)
16-02-2012, 23:39 door Tijger71
Heb net libroffice geïnstalleerd maar zeurde om java anders ging die niet verder met de installatie, weet niet of ik het er achteraf af kan halen zonder dat er bestanden, of registersleutels achter blijven, want dan heb je nog steeds java, en die dan niet wordt ge-update.
16-02-2012, 23:47 door [Account Verwijderd]
[Verwijderd]
17-02-2012, 01:08 door Spiff has left the building
Door Tijger71: Heb net libroffice geïnstalleerd maar zeurde om java anders ging die niet verder met de installatie
Was dat niet direct de installatie, bij het eerste openen van het programma?
Zoals unbalanced aangeeft, daar kun je gewoon doorheen klikken.

weet niet of ik het er achteraf af kan halen zonder dat er bestanden, of registersleutels achter blijven, want dan heb je nog steeds java, en die dan niet wordt ge-update.
Heb je Java wel wérkelijk geïnstalleerd? Met het LibreOffice 'toestaan' een niet geïnstalleerde Java te gebruiken heb je nog geen Java JRE geïnstalleerd.
Heb je Java JRE werkelijk geïnstalleerd, dan kun je het, als je dat wilt, op de 'gewone' manier verwijderen (of eventueel met behulp van Revo Uninstaller), en vervolgens nog even met bijvoorbeeld met CCleaner plus handmatig (eventuele) restjes opruimen. Dat zal zeker voldoende zijn.
17-02-2012, 08:39 door Tijger71
Door Spiff:
Door Tijger71: Heb net libroffice geïnstalleerd maar zeurde om java anders ging die niet verder met de installatie
Was dat niet direct de installatie, bij het eerste openen van het programma?
Zoals unbalanced aangeeft, daar kun je gewoon doorheen klikken.

weet niet of ik het er achteraf af kan halen zonder dat er bestanden, of registersleutels achter blijven, want dan heb je nog steeds java, en die dan niet wordt ge-update.
Heb je Java wel wérkelijk geïnstalleerd? Met het LibreOffice 'toestaan' een niet geïnstalleerde Java te gebruiken heb je nog geen Java JRE geïnstalleerd.
Heb je Java JRE werkelijk geïnstalleerd, dan kun je het, als je dat wilt, op de 'gewone' manier verwijderen (of eventueel met behulp van Revo Uninstaller), en vervolgens nog even met bijvoorbeeld met CCleaner plus handmatig (eventuele) restjes opruimen. Dat zal zeker voldoende zijn.


Dank je voor de tips ga het meteen uitvoeren.
17-02-2012, 09:47 door [Account Verwijderd]
[Verwijderd]
17-02-2012, 09:49 door [Account Verwijderd]
[Verwijderd]
17-02-2012, 23:51 door [Account Verwijderd]
[Verwijderd]
18-02-2012, 00:14 door Spiff has left the building
Door rookie:
Haters!
En 'zonder kunners' :-)
25-02-2012, 11:36 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.