Microsoft waarschuwt voor Java-aanvallen

java bommetje

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (9)
2x Aanbevolen

Gepubliceerd: Woensdag 30 november 2011
Auteur: Jasper Bakker

Microsoft waarschuwt dat 50 procent van alle malware mikt op gaten in Java. Daar zijn al wel patches voor, maar die blijken in de praktijk nauwelijks geïnstalleerd.

Bij de helft van alle malware-aanvallen die in een jaar zijn gedetecteerd door securitysoftware van Microsoft zijn Java-exploits ingezet. Dit blijkt uit onderzoek van Microsofts Trustworthy Computing-groep. Gedurende de periode van mid 2010 tot midden dit jaar heeft de Windows-producent 27 miljoen aanvallen op Java-gaten onderschept.

Ongepatchte installaties

De meeste van kwetsbaarheden in Oracle's Java-platform zijn lang geleden al gepatched, zegt directeur Tim Rains van de Microsoft-groep tegen Computerworld.com. Toch zijn de aanvallen op die gaten een bedreiging, want Java-installaties lopen in de praktijk enorm achter. De al maanden beschikbare Java-patches blijken nauwelijks te zijn geïnstalleerd.

De meest geblokkeerde Java-malware - 2,5 miljoen stuks in de eerste helft van dit jaar - mikt op een gat dat anderhalf jaar terug al is gedicht. Dat lek is in maart 2010 openbaar gemaakt en diezelfde maand nog door Oracle gepatcht. Microsoft zet de Java-dreiging uiteen in de elfde editie van zijn Security Intelligence Report (pdf), dat vorige maand is verschenen.

Drie jaar oud gat

De op één na meest geblokkeerde Java-malware voor de hele periode van twaalf maanden, misbruikt een gat dat in december 2008 is gepatcht. Andere Java-lekken die in de praktijk worden misbruikt, zijn gedicht in november 2009 en maart 2010. Microsoft heeft in oktober vorig jaar al alarm geslagen over een enorme golf aan Java-aanvallen.

Beveiligingsexperts onderschrijven de bevinding dat Java-installaties flink achterlopen met patches. "84 procent van de machines die wij scannen, heeft niet de Java-update van juni 2011 geïnstalleerd. 81 procent heeft niet de update van februari 2011, en 60 procent heeft niet de update van maart 2010", zegt cto Wolfgang Kandek van securityleverancier Qualys tegen Computerworld.com.

0-day versus antieke gaten

De Java-patch van oktober dit jaar is nog niet meegenomen in de analyse van Qualys. Kandek schat dat 90 procent van alle Windows-pc's die nieuwste update nog niet heeft geïnstalleerd. Microsoft-topman Rains heeft in oktober al gesteld dat de dreiging van 0-day gaten meevalt. Dat zijn lekken waar nog geen patches voor zijn. Antieke gaten blijken populairder bij malwaremakers.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)