Java-gebruikers laten onderzoekers schrikken
37 beveiligingslekken waren verantwoordelijk voor 70% van alle kwetsbaarheden die vorig jaar werden gedetecteerd, maar acht daarvan vormen een zeer groot beveiligingsrisico. Dat meldt het Russische anti-virusbedrijf dat de gegevens van 11 miljoen gebruikers analyseerde. Deze gebruikers hadden toestemming gegeven om hun gegevens met de virusbestrijder te delen.
In totaal werden 132 miljoen beveiligingslekken gedetecteerd, wat neerkomt op gemiddeld 12 lekken per gebruiker. In totaal ging het 806 unieke kwetsbaarheden. 37 van deze lekken stonden gedurende tenminste één week op tenminste 10% van alle gescande computers. En zijn daardoor volgens Kaspersky interessant voor cybercriminelen.
Software
De lekken waren verdeeld over 11 verschillende 'softwarefamilies'. De meeste lekken bevonden zich in Adobe Shockwave, Adobe Flash Player, Apple iTunes, Apple QuickTime en Oracle Java. Van de 37 lekken worden er slechts 8 actief op grote schaal door cybercriminelen gebruikt. Het gaat om vijf Java-lekken, twee Flash Player-lekken en als laatste een lek in Adobe Reader.
In de Top 37 staan verschillende 'exoten', waaronder WinRAR, Google Picasa, Google Chrome (dat over een automatische update functie beschikt), WinAMP en VLC Media Player. Populaire software waar geregeld lekken in worden gevonden, maar die geen doelwit van cybercriminelen zijn.
Java
De onderzoekers schrokken echter het meest van de situatie die ze bij Java-gebruikers aantroffen. Ondanks het verschijnen van updates en media-aandacht voor aangevallen beveiligingslekken in de software, bleek dat na zo'n zeven weken sinds het verschijnen van een nieuwe update, die door nog geen 30% van de gebruikers was geïnstalleerd. Bij browsers zou dit percentage binnen de 5 a 7 dagen worden behaald.
Die cijfers komen overeen met eerder onderzoek van beveiligingsbedrijf Rapid7, dat ontdekte dat 60% van de Java-installaties nooit up-to-date is. Bij Kaspersky kunnen ze er nog enigszins nuchter op reageren. "We kunnen stellen dat het updateproces voor Oracle Java erg langzaam is."
Gebruikers met gepatchte Java-installatie (Fixed) tegenover ongepatchte Java-installatie (Affected) op weekbasis.
Gebruikers weten niet wat het is en klikken de melding vervolgens weg.
Automatische update die dan meteen die Ask.com spyware installeert? Liever niet zeg.
Bovendien is het nog eens extra erg omdat de oude versie naast de nieuwe versie blijft bestaan.
Sinds Java JRE 6 update 10 wordt bij update de oude Java installatie verwijderd.
Zie:
https://www.security.nl/artikel/23426/Sun_verwijdert_eindelijk_oude_Java_installaties.html
https://www.security.nl/artikel/39012/1/Oude_Java-_installatie_bedreigt_Windows-gebruikers.html
De onderzoekers schrokken echter het meest van de situatie die ze bij Java-gebruikers aantroffen. Ondanks het verschijnen van updates en media-aandacht voor aangevallen beveiligingslekken in de software, bleek dat na zo'n zeven weken sinds het verschijnen van een nieuwe update, die door nog geen 30% van de gebruikers was geïnstalleerd.
Even in een relativerend perspectief ten gunste van de 'schrikaanjagend lakse updaters'.
"Oracle brengt elk kwartaal updates uit" ,dat is dan plusminus elke 13 weken
( www.security.nl/artikel/43523/1/Oracle_dicht_109_beveiligingslekken.html ).
Daarnaast heeft Oracle nogal moeite één en ander zelf bij te houden, is de prognose voor een veiliger Java na 52 (?!) weken te verwachten.
( www.security.nl/artikel/44695/1/'Java_pas_in_2015_veilig_genoeg_voor_gebruik'.html ) .
Wat heb je dan nog aan een automatische update, die maar niet komt, en als (half) gepatched de veiligheid ervan binnen korte tijd weer verder is achterhaald?
Doen die 7 weken weken dan nog steeds zo schrikken?
Dan is er wel een creatieve (goede?) automatische oplossing voorhanden,
ook weer niet gewaardeerd vanwege toekomstvisie (sta alleen toekomstige, niet verschenen versie toe ;-).
( www.security.nl/artikel/44989/1/Apple_blokkeert_meest_recente_Java-versie.html )
Gebruiker zal dan zijn computer actief de 'onveiligheid' in moeten tweaken.
Relatief simpel, maar dat doet niemand die al niet op de update button durft te klikken, en zo blijft bij gebrek aan actie in ieder geval die computer wat veiliger.
Vraag : Iemand al geprobeerd het (java) versienummer ergens wat virtueel op te krikken naar een (toekomstige) versie die nog niet bestaat?
Want je kan het misschien ook omdraaien,...
Heb de indruk dat meeste (java)scripts op sites het versie nummer van de software checken; "if < ..." = malware action!?
Variatie op Security by Obscurity, trucje lijkt wel te werken met andere webplugins / (browser) software (+M) , of dat voor java zou werken, wie het weet mag het zeggen .
Vreemd, ik heb laatst 7u10 naar 7u11 geüpdatet en ik moest toen 7u10 weer handmatig verwijderen. misschien doordat ik beide 32- en 64bits installaties heb staan dan. In ieder geval bedankt voor de correctie. :)
Jammer genoeg was in elk van de verschillende gevallen niet duidelijk wat de oorzaak was van het niet automatisch verwijderen van een oude Java versie bij update.
Het lijkt in ieder geval te laten zien dat het systeem van het verwijderen van oude Java versies blijkbaar niet onfeilbaar is.
Kennen jullie dit artikel al ?
Weliswaar niet via de auto-update, maar handmatig, maar toch interessant.
http://www.zdnet.nl/download/147063/vermijd-lelijke-adware-als-je-java-moet-installeren/
http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html
Het principe kende ik al wel.
Net zoals Adobe voor Flash Player biedt ook Oracle voor Java offline installers, waarmee je niet geconfronteerd wordt met een aanbod voor het meeïnstalleren van 'extraatjes'.
Ik gebruik zelf geen Java meer, maar toen ik het nog wel gebruikte ging ik uit van de volgende adressen:
http://www.oracle.com/technetwork/java/index.html
-> Kies Java SE -> http://www.oracle.com/technetwork/java/javase/downloads/index.html
-> Kies Download JRE, van de Java versie die je wenst.
Deze route heeft als voordeel boven de directe link zoals aangeboden door ZDNet dat je erdoor kan kiezen tussen verschillende Java series, terwijl de link zoals aangeboden door ZDNet enkel verwijst naar de Java 7 versies (en dus verouderd is zodra Java komt met een serie 8).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.