Nieuws
image

Meeste bedrijfsnetwerken vol Java-lekken

donderdag 18 juli 2013, 14:01 door Redactie, 7 reacties

Ongepatchte Java-versies zijn al geruime tijd de voornaamste oorzaak dat computers met malware geïnfecteerd raken, toch blijken nog altijd zeer veel bedrijven Java-updates niet te installeren. Beveiligingsbedrijf Bit9 publiceerde vandaag een rapport gebaseerd op 1 miljoen onderzochte bedrijfscomputers. Daaruit kwam naar voren dat 82% het niet meer ondersteunde Java 6 gebruikt.

Deze Java-versie wordt sinds april van dit jaar niet meer door Oracle ondersteund. Alleen klanten met speciale ondersteuningscontracten ontvangen voor Java 6 nog beveiligingsupdates. De meeste bedrijven die Java 6 geïnstalleerd hebben draaien daarnaast niet de laatste versie. De zwaar verouderde Java 6 Update 20 is met 9% de populairste versie.

Updaten
Deze versie beschikt over 215 lekken, waarvan er 96 zo ernstig zijn dat ze de maximale score hebben die kwetsbaarheden kunnen krijgen. Java 7, de nieuwste versie, was op 15% van de 'endpoints' geïnstalleerd. En ook hier lopen bedrijven gigantisch achter met patchen. Slechts 3% had de meest recente Java 7-versie uitgerold.

Uiteindelijk blijkt dat 93% van de onderzochte bedrijven een Java-versie draaien die tenminste 5 jaar oud is. Bij 51% is de versie zelfs tussen de 5 en 10 jaar oud. Slechts zeven procent heeft een versie die jonger dan 5 jaar is. Een ander probleem is de aanwezigheid van meerdere Java-versie.

Zo'n 65% van de bedrijven had meer dan twee Java-versies geïnstalleerd, en op zo'n 20% van de computers werden zelfs meer dan drie versies aangetroffen. Bij 5% van de bedrijven werden meer dan 100 verschillende Java-versies aangetroffen. "Java is het grootste veiligheidsprobleem waar bedrijven vandaag de dag mee te hebben", aldus Bit9.

Reacties (7)
18-07-2013, 19:37 door Anoniem
Veel aandacht in het artikel voor getallen.
Dat is mijns inziens wat ten koste gegaan van een simpele concrete illustratie van de echte essentie van het probleem.
Namelijk dat als je oudere java versies niet verwijdert je de kans loopt dat malware specifiek een aanwezige oudere en kwetsbare java versie aanroept.
Mooi voorbeeld in securityweek-artikel, aan de java experts te beoordelen of de vergelijking opgaat;
People don't expect that a malicious Word document would open in Word 97 instead of Word 2007, if that was installed
Yet that is exactly what happens with Java.
Het beschikken van oudere java versies naast nieuwere (al dan niet geupdate ) versies maken 'het geheel' zo sterk als de zwakste schakel (niet verwijderde oude java versies).
18-07-2013, 21:01 door Briolet
Het is niet juist dat Java 6 helemaal niet meer ondersteunt wordt. Met elke Java 7 update komt er nog een Java 6 update uit waar dezelfde bugs in gepatched zijn. Een paar week gelden is mijn Java nog naar update 51 gebracht via de update functie op al mijn Macs. Het kan wel zo zijn dat Oracle gestopt is deze versies zelf uit te geven en versie 48 de laatste is die Oracle zelf beschikbaar stelt.

Ik heb echter één applicatie waar ik niet zonder kan, die Java vereist en die draait nog steeds niet met Java 7 (Ik ben dus met een beetje moeite weer van 7 naar 6 terug gegaan)

Het artikel geeft niet aan of er macs in de telling meegenomen zijn, omdat daar standaard nog steeds versie 6 geupdate wordt.
18-07-2013, 21:24 door Anoniem
@Briolet,
Grappig, ik dacht hetzelfde en kwam daar ook niet achter, reden om dan een ander belangrijk punt te maken hierboven.
SecurityWeek schrijft af en toe wel over Apple dus zou je verwachten dat Mac systemen wel zijn meegenomen of dat daar aandacht voor is.
Evengoed verwacht ik niet dat het aandeel Mac's erg groot is in het bedrijfsleven ten opzichte van Pc gebruik, wat niet wegneemt dat Mac users ook beter oude java versies kunnen verwijderen of locken (versie 5 of zelfs 4), afhankelijk van het gebruikte Os X.

Ben zeer benieuwd wat die ene Mac-applicatie dan is die Java nodig heeft, applicatie in het kader van webdesign (tbv uploaden etc.) of iets hardware gerelateerd als bijv. een scsi kaart?

Je andere Mac punt (java script uitschakelen) onder artikel, security.nl/artikel/47063/1/FBI_ransomware_valt_Mac-gebruikers_aan.html vond ik ook goed gevonden overigens.
19-07-2013, 05:00 door Hans_US
Dit verbaast me niets, hoeveel enterprise applicaties (zoals SAP, Netweaver etc) eisen Java 6 voor installatie?
19-07-2013, 13:02 door [Account Verwijderd]
[Verwijderd]
19-07-2013, 13:05 door Skizmo
Word java nog steeds gebruikt ?
06-08-2013, 13:43 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search