Oracle dicht dinsdag 167 lekken, waarvan 19 in Java
Tijdens de eerste patchdinsdag van 2015 zal Oracle 167 beveiligingslekken in allerlei software dichten, waaronder Java, MySQL Server, VirtualBox en Database Server. De meeste kwetsbaarheden (35) worden verholpen in Fusion Middleware, gevolgd door de Sun Systems Products Suite (29).
In Java zal Oracle 19 lekken patchen, waarvan 14 door een aanvaller op afstand zijn te misbruiken. In dit geval kan een gebruiker worden aangevallen als hij met een kwetsbare Java-browserplug-in een kwaadaardige of gehackte website bezoekt. De ernst van de Java-lekken wordt met de maximaal haalbare CVSS-score van 10.0 beoordeeld. De patch voor het populaire VirtualBox zal 11 lekken verhelpen. De updates zijn vanaf morgenavond 20 januari te downloaden.
Wanneer zou er iemand daar een keer op het idee komen om de Java-Browserplugin als aparte/losse installer aan te bieden?
Dat zou in dit geval al een eindje schelen.
Maar niet genoeg!
Java niet nodig?=Java eraf.
Heel simpel eigenlijk, help je omgeving ermee.
Kleine moeite groot plezier.
...
Maar niet genoeg!
Java niet nodig?=Java eraf.
Heel simpel eigenlijk, help je omgeving ermee.
Kleine moeite groot plezier.
Met GPO zeer makkelijk te beheren.
Inderdaad overal vanaf halen en zodra iemand het nodig heeft nemen ze wel contact met je op.
De lekken in Java zijn nu wel gedicht maar stonden met score 10 al die tijd wagenwijd open!
Monsterlijk bezig
En daarbij zelf ook nog stug malware blijven leveren: de welbekende ongewenste browsertoolbars.
Tijd voor een wijdverbreide consumenten stickeractie :
Danger! Java Inside
Nee het het is geen normale patch ronde wat het aantal lekken dat verholpen moet worden wordt steeds groter en erger.
Nee, een CVSS-score van 10.0 is niet normaal, bij Java is het ook niet incidenteel meer.
Java wordt na elke patch ronde een steeds grotere gatenkaas.
Java wordt voor doorsnee thuisgebruikers een steeds grotere bedreiging.
Het beste wat je aan hulp voor doorsnee thuisgebruikers kan betekenen is onder meer even Java eraf kletteren.
Geen CVSS-score 10.0 bedreigingen meer
Geen Toolbar rotzooi meer
Fact : Privé computers zijn gewoon veel veiliger af zonder Java
Naieve aanname : zero days worden gemeld
Realiteit : zero days worden verkocht voor heel veel geld die worden echt niet openbaar gemaakt maar misbruikt.
Jammer voor het tellertje, die telt geen stilgehouden zerodays
Dat tellertje kende ik al, ik heb je er zelf ooit op geattendeerd bij wijze van aardigheidje (een 'java-kenner' moet je af en toe een beetje helpen aan informatie nietwaar).
WC-Oracle citeren
Dat is trieste werkelijkheid.
Privé computers zijn gewoon veel veiliger af zonder Java.
PUNT.
Ik zie de problemen ook niet. Sinds versie 7 kent Java een click-to-play, dus Java runt niet zonder dat je zelf toestemming geeft. Verder hebben veel browsers een eigen click-to-play, zodat ik op mijn PC altijd 2x toestemming moet geven. Eerst aan de browser (safari) en dan nog eens aan Java zelf, voordat een applet werkt.
Overigens geloof ik de bewering niet dat 97% van de enterprise desktops Java bevat. Apple heeft b.v. Java van alle desktops verwijderd met de introductie van Yosemite en ik betwijfel of veel gebruikers het terug geïnstalleerd hebben via Oracle.
Het enige waar ik me aan stoor dat sommige Java ontwikkelaars vasthouden aan de onveilige versie Java 6 en de Applets niet werken met nieuwere Java versies. Ik kreeg vorige week weer zo'n melding van 'missende Java 6' terwijl Java 8 aanwezig is. Maar dat is een fout van de ontwikkelaars dat ze de code te versie-afhankeljk gemaakt hebben.
De lekken in Java zijn nu wel gedicht maar stonden met score 10 al die tijd wagenwijd open!
ach,linux stond 20 jaar wagenwijd open en daar werd heel luchtig over gedaan door de aanbidders..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.