Houdt het dan Nooooooooooooooiiiiiiit op !
Kennelijk niet ...
Zelf 14 jaar gewerkt voor Oracle ... (Juist 14 jaar te veel ....)
Er is nog niets veranderd ...
Bij Oracle zijn fouten/lekken in de software een goed argument om weer supportcontracten
af te sluiten ... dus als je een paar fouten/lekken oplost dan moet er wel weer een nieuw lek
in. Dat is kennelijk de gedachte bij Oracle ... Eat your hart out Larry ...

Dank voor het melden!

Kennelijk gemist door de redactie (stond gisteren ook al op Tweakers (zie http://tweakers.net/nieuws/84105/noodpatch-oracle-voor-kritiek-lek-java-bevat-nieuwe-kwetsbaarheid.html) en Internet Storm Center (zie https://isc.sans.edu/diary/Not+so+fast+Java+7+Update+7+critical+vulnerability+discovered+in+less+than+24+hours/14017).

Datzelfde ISC meldt phishing mails die naar Java exploits wijzen (https://isc.sans.edu/diary/Blackhole+targeting+Java+vulnerability+via+fake+Microsoft+Services+Agreement+email+phish/14020).

Daarbij is sprake van "Leh.jar" welke, volgens VirusTotal in eerste instantie door 7 van 42 virusscanners werd gedetecteerd (zie https://www.virustotal.com/file/2510b99d94446dccacc8809c07f74d0c09b185b5ae68705c8406210148358bc9/analysis/1346461186/). Als ik op "View latest" klik zijn dat er 8 van 42. AV boeren vieren ook weekend...

Detectie van de Zeus malware die ja na een succesvolle exploit krijgt "aangeboden" is ook slecht: 6/42 (zie https://www.virustotal.com/file/98bbe7548b6c51247bd2ef0bcf4f4ac45df9851a3dd9c5ceb5e04b9320c55645/analysis/1346461231/).

Oneens. De nu wijdverspreide exploits maken gebruik van de gepatchte kwetsbaarheid. Het zal even duren voordat er exploits verschijnen voor de nieuwe kwetsbaarheid, hopelijk komt Oracle voor die tijd met een nieuwe fix.

Dé-installeren van Java is het verstandigst, maar de kwetsbaarheid zit in de browserplugin (en mogelijk Java webstart, dat ook via de webbrowser verloopt). Als je zekerstelt dat er geen Java support is in de door jou gebruikte webbrowsers ben je niet kwetsbaar voor de huidige exploits.

In Firefox kun je Java eenvoudig uitschakelen met de NoScript plugin.

In MSIE kun je alle door Java gebruikte "invoegtoepassingen" uitschakelen. AANVULLING 20:31: DOE DIT NIET. HET IS TE ONBETROUWBAAR. ZIE MIJN VOLGENDE BIJDRAGE.

Voor MSIE 7 en 8 open je het tweede item in http://windows.microsoft.com/nl-NL/windows-vista/Internet-Explorer-add-ons-frequently-asked-questions; bij MSIE 9 open je het eerste item http://windows.microsoft.com/nl-BE/windows7/How-to-manage-add-ons-in-Internet-Explorer-9.

Belangrijk: doorloop de lijst rechts voor elke mogelijke instelling in het drop-down menu aan de linkerzijde! Om mij totaal onbegrijpelijke redenen worden onder "Alle invoegtoepassingen" niet alle mogelijke add-ons getoond (bijv. het lijstje van Microsoft add-ons is veel langer onder "Uitvoeren zonder toestemming", en ook vreemd is dat de sorteervolgorde onderling verschillend is). Bij MSIE 7 en 8 zijn dat er 4:
- Alle invoegtoepassingen (UK: All add-ons)
- Momenteel geladen invoegtoepassingen (UK: Currently loaded add-ons)
- Uitvoeren zonder toestemming (UK: Run without permission)
- Gedownloade besturingselementen (UK: Downloaded controls)

In mijn (Engelstalige) MSIE8 zie ik, vóór de update, toevallig nog wel alle Java add-ons als ik links "Alle invoegtoepassingen" selecteer:LET OP: Na de update zijn ze weer enabled! Dit lijkt te komen door de instellingen van "Java" in Control Panel "Advanced". Ik heb de volgende instellingen gewijzigd, getoond wordt de situatie na wijziging (dus vinkjes weggehaald):Die laatste kost alleen maar geheugen en opstarttijd van je PC (is geen security issue, alleen vervelend).

Daarna zijn de (veilige!) instellingen in MSIE 8 als volgt, d.w.z. "Disabled" in mijn Engelstalige Windows (zo niet, selecteer de regel en klik rechtsonderaan op de "Disable" / "Uitschakelen" knop):

Alle invoegtoepassingen:Uitvoeren zonder toestemming:Interessant is dat de "isInstalled Class" geheel lijkt te zijn verdwenen.

Ga naar http://www.java.com/en/download/installed.jsp om te controleren dat Java echt niet meer werkt in jouw webbrowser(s); dit moet "No working Java was detected on your system" opleveren.

BELANGRIJK: bovenstaande instellingen zijn deels gebruiker-specifiek! Als je in de Java instellingen in Control panel ondersteuning voor webbrowsers uitzet, lijkt dat voor alle gebruikers van de PC te gelden. Laat je die aan staan en doe je de instellingen in MSIE, dan gelden die alleen voor de huidige gebruiker!

Hmm, nu ik nog een keer kijk zijn ineens alle items weer te vinden onder "Alle invoegtoepassingen":Bizar. Hoe dan ook, ze zijn disabled.

Tip: heb je persé Java ondersteuning nodig voor bepaalde websites (die jij vertrouwt), zorg dan voor twee webbrowsers op je systeem. In je favoriete webbrowser schakel je Java uit en surf je mee, de andere webbrowser (met Java enabled) gebruik je voor die sites die Java applets gebruiken.

Correctie/aanvulling op mijn bovenstaande bijdrage: de lijst met getoonde invoegtoepassingen (add-ons) in MSIE lijkt totaal onbetrouwbaar, ook als je "Alle invoegtoepassingen" kiest. De feitelijke plugin wordt helemaal niet getoond totdat deze geladen is! Wat kan Microsoft soms toch een waardeloze producten maken....

Als ik, met een admin account alles aan Java heb enabled wat er te enablen valt, naar http://www.java.com/en/download/installed.jsp surf en dan nogmaals kijk, zie ik onder "Alle invoegtoepassingen" (lijstje 1):Als ik daarna uitlog en met m'n gewone unprivileged account inlog en MSIE 8 start (XPSP3 fully patched) dan zie ik onder "Alle invoegtoepassingen" (lijstje 2):Als ik uitlog en weer als admin inlog en, zonder http://www.java.com/en/download/installed.jsp te openen, dan verschijnt wel weer lijstje 1. Verschrikkelijk onbetrouwbaar dus: iets dat je per gebruiker moet doen, de eerstvolgende update past deze instellingen aan en je ziet niet altijd de beschikbare instellingen!

====> Met andere woorden: ik moet afraden op bovenstaande wijze Java in MSIE uit te schakelen!

Ik raad bij nader inzien één van de volgende methodes aan:

(1) Disable Java in webbrowsers via de Java Control Panel instellingen.
In http://blog.gdatasoftware.com/blog/article/cve-2012-4681-a-java-0-day-is-going-to-hit-big-time.html (bron, Duitstalig: http://www.gdata.de/pressecenter/artikel/article/2894-sicherheitswarnung-0-day-sich.html) wordt erop gewezen dat je dit, bij 64-bit Windows, dat je zowel de 32bit als de 64bit variant van Java geïnstalleerd kunt hebben. Start dan beide:
C:\Program Files (x86)\Java\jre7\bin\javacpl.exe
C:\Program Files\Java\jre7\bin\javacpl.exe
als Admin en schakel Java voor alle gewenste browsers uit onder het "Advanced" tabblad, ik herhaal uit mijn vorige bijdrage (verwijder de vinkjes tot het resultaat er als volgt uitziet): Die laatste kost alleen maar geheugen en opstarttijd van je PC (is geen security issue, alleen vervelend). Ik heb "JNLP file/MIME Association" nu ook op "never" gezet, de meest veilige instelling.

(2) Disablen van Java in ALLEEN IN MSIE voor beheerders
Beheerders die Java support in MSIE grondig willen uitschakelen (voornamelijk met ActiveX kill-bits) vinden daar aanwijzingen voor in http://support.microsoft.com/kb/2751647.

Bronnen, achtereenvolgens:
(Duitstalig) http://www.heise.de/security/meldung/Oracle-und-Microsoft-blamieren-sich-bei-Reaktion-auf-Java-Luecke-1695480.htmlHierin meldt Heise dat Microsoft in eerste instantie onjuist beschreef hoe je Java kunt uitschakelen in:

(Duitstalig) http://blogs.technet.com/b/michaelkranawetter/archive/2012/08/30/update.aspxUpdated beschrijving hoe je Java in MSIE kunt uitschakelen. Een plaatje in die beschrijving toon wat ik in mijn vorige bijdrage beschrijf: http://blogs.technet.com/cfs-filesystemfile.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-60-74/8371.ie_5F00_java.PNG. Daarbij zag ik dat er sprake is van een "Java Plug-in 10.6.2" die ik niet eerder gezien heb in de lijst met invoegtoepassingen.

Nog een aanvulling: https://www.java.com/en/download/installed.jsp gebruikt de volgende regel om te testen of Java geïnstalleerd is:Dat is dus een test of de ActiveX variant van de Java add-on is geïnstalleerd. Dit werkt alleen in MSIE.

Daarentegen, https://www.java.com/en/download/testjava.jsp gebruikt de volgende code: Dit zou in alle webbrowsers (ook MSIE) moeten werken - mits ondersteuning voor Java applets in webbrowsers in ingeschakeld.

Als je MSIE wilt testen kun je het beste beide pagina's bezoeken, in geen van beide mag Java werken!

Meer info over de "applet", "object" en "embed" tags: http://docs.oracle.com/javase/1.5.0/docs/guide/plugin/developer_guide/using_tags.html

Even getes en in beide gevallen krijg ik:

No working Java was detected on your system.
Install Java by clicking the button below.

Dus dat ziet er goed uit zeker ...

(ik was sowiso al nooit fan van Java)

Goed gevonden door Bitwiper:
Als ik, met een admin account alles aan Java heb enabled wat er te enablen valt, naar http://www.java.com/en/download/installed.jsp surf en dan nogmaals kijk, zie ik onder "Alle invoegtoepassingen" (lijstje 1):

Ook na deïnstallatie blijft het lijstje bestaan. De invoegtoepassingen zijn te verwijderen door het klasse-ID op te zoeken (via meer informatie); vervolgens deze id's op te zoeken in het register en te verwijderen.

Dat is geen lek... Dat is het NSA achterdeurtje. *zet alu-hoedje op*

Nou voor jan boerelol wordt het wel weer een beetje te makkelijk zo...