Oracle gaat veiligheid Java verbeteren
Oracle zegt dat het de veiligheid van Java gaat verbeteren en dat het onlangs al belangrijke beveiligingsmaatregelen heeft doorgevoerd, maar een bekende Java-onderzoeker heeft ook in deze maatregelen een beveiligingsprobleem ontdekt. Java ligt vanwege allerlei lekken al geruime tijd onder vuur en wordt inmiddels door tal van organisaties afgeraden. Reden voor Oracle om een conference call te organiseren.
Daarin liet Milton Smith, hoofd Java-beveiliging, weten dat het bedrijf de problemen met de veelgebruikte programmeertaal gaan aanpakken, alsmede de communicatie gaat verbeteren.
"Het plan voor Java is vrij eenvoudig", aldus Milton. "Als eerste gaan we Java repareren, en als tweede gaan we onze activiteiten beter communiceren. De één kan niet zonder de ander bestaan. Alleen praten gaat niemand gelukkig maken. We moeten Java repareren."
Smith liet verder weten dat Oracle belangrijke beveiligingsmaatregelen heeft doorgevoerd om stille exploits te voorkomen. "Maar mensen begrijpen die features nog niet, ze zijn vrij nieuw." Gebruikers kunnen na het installeren van de nieuwste Java-versie vier beveiligingsniveaus instellen, waarbij ongesigneerde Java-applets niet worden geladen.
Beveiligingsniveau
Volgens de Poolse beveiligingsonderzoeker Adam Gowdiak van Security Explorations is dit een mooi theorieverhaal, maar pakt het in de praktijk anders uit. Het is namelijk nog steeds mogelijk om ongesigneerde en kwaadaardige Java-code uit te voeren zonder dat de gebruiker eerst een waarschuwing te zien krijgt, zoals ingesteld via het Java Controlepanel.
Zelfs op het allerhoogste beveiligingsniveau wordt de kwaadaardige Java-code nog steeds uitgevoerd. De enige maatregel die Java-gebruikers kunnen nemen is dan ook de Click to Play technologie gebruiken die browsers zoals Mozilla Firefox en Google Chrome toepassen, aldus Gowdiak.
Ik heb de installatie instructies gelezen en de installer aangeroepen met WEB_JAVA_SECURITY_LEVEL=H
maar dat deed helemaal niks! De setting stond wel ergens in de registry maar de gebruikers hadden hun
security level nog steeds op M staan. Misschien kan Oracle dit uitleggen?
Toen kwam er een nieuwe update (11) en had Oracle besloten hem zelf maar op H te zetten. Dat
werkt wel, maar de gebruiker kan ondanks dat WEB_JAVA_SECURITY_LEVEL=H was ingesteld bij
installatie de slider nog steeds naar beneden schuiven. Misschien kan Oracle dit uitleggen?
En als je nu naar de java.com site gaat en vraagt of Java geinstalleerd is, dan wordt er een Oracle app
gestart die niet signed blijkt te zijn en dus een prompt geeft dan wel niet uitgevoerd wordt.
Misschien kan Oracle dit uitleggen?
Tenslotte is het extra nivo van beveiliging wat wordt geboden maar heel betrekkelijk. In principe kan
iedereen een signing certificaat aanvragen en daarmee code signen, zonder dat dit op de een of
andere manier reviewed is. Dus malicious code kan best signed zijn. Misschien kan Oracle dit uitleggen?
Mijn plan voor Java was tot nu toe vrij eenvoudig: uninstall everywhere, except where really required.
Misschien kan Oracle uitleggen hoe dat beter kan?
En nee ik heb geen aandelen of belang in Oracle , maar vind Java op zich zelf wel een mooi platform .
(als Sun de eigenaar was geweest had ik dezelfde opmerkingen gemaakt)
En als je dan met plannen komt die onmiddelijk weer vol met gaten blijkt, ja, dan versterk je dat sentiment alleen maar.
Niet dat je geen gelijk hebt dat java niet zomaar weg kan. Dat CIOgeval dat riep "oracle gaat java dumpen" maakte daar een grote ongenuanceerde flater met z'n "analyse". Dat zou zo mogelijk nog stommer zijn geweest van oracle. Maar ondertussen hebben ze niet het prutsen wat ze zo in de problemen gebracht heeft van de ene op de andere dag afgeleerd, dat blijkt.
Ik denk dat in de eindanalyse hier koppen moeten gaan rollen. Of de juiste koppen gaan rollen gaat invloed hebben op de levensvatbaarheid van java op de middel- en lange termijn, in ieder geval als plugin maar eventueel daarbuiten. Gezien eerdere resultaten loop ik niet over van vertrouwen dat ze zelfs maar aan die eindanalyse toe gaan komen binnen afzienbare tijd.
Probleem is alleen dat er nauwlijks alternatieven zijn, maar wellicht dat er mensen opstaan om alternatieve java virtuele machines geschikt te maken voor browserplugingebruik?
Vreemd dat Oracle nu pas de ernst van de situatie inziet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
