Bij de helft van alle malware-aanvallen die in een jaar zijn gedetecteerd door securitysoftware van Microsoft zijn Java-exploits ingezet. Dit blijkt uit onderzoek van Microsofts Trustworthy Computing-groep. Gedurende de periode van mid 2010 tot midden dit jaar heeft de Windows-producent 27 miljoen aanvallen op Java-gaten onderschept.
Ongepatchte installaties
De meeste van kwetsbaarheden in Oracle's Java-platform zijn lang geleden al gepatched, zegt directeur Tim Rains van de Microsoft-groep tegen Computerworld.com. Toch zijn de aanvallen op die gaten een bedreiging, want Java-installaties lopen in de praktijk enorm achter. De al maanden beschikbare Java-patches blijken nauwelijks te zijn geïnstalleerd.
De meest geblokkeerde Java-malware - 2,5 miljoen stuks in de eerste helft van dit jaar - mikt op een gat dat anderhalf jaar terug al is gedicht. Dat lek is in maart 2010 openbaar gemaakt en diezelfde maand nog door Oracle gepatcht. Microsoft zet de Java-dreiging uiteen in de elfde editie van zijn Security Intelligence Report (pdf), dat vorige maand is verschenen.
Drie jaar oud gat
De op één na meest geblokkeerde Java-malware voor de hele periode van twaalf maanden, misbruikt een gat dat in december 2008 is gepatcht. Andere Java-lekken die in de praktijk worden misbruikt, zijn gedicht in november 2009 en maart 2010. Microsoft heeft in oktober vorig jaar al alarm geslagen over een enorme golf aan Java-aanvallen.
Beveiligingsexperts onderschrijven de bevinding dat Java-installaties flink achterlopen met patches. “84 procent van de machines die wij scannen, heeft niet de Java-update van juni 2011 geïnstalleerd. 81 procent heeft niet de update van februari 2011, en 60 procent heeft niet de update van maart 2010", zegt cto Wolfgang Kandek van securityleverancier Qualys tegen Computerworld.com.
0-day versus antieke gaten
De Java-patch van oktober dit jaar is nog niet meegenomen in de analyse van Qualys. Kandek schat dat 90 procent van alle Windows-pc's die nieuwste update nog niet heeft geïnstalleerd. Microsoft-topman Rains heeft in oktober al gesteld dat de dreiging van 0-day gaten meevalt. Dat zijn lekken waar nog geen patches voor zijn. Antieke gaten blijken populairder bij malwaremakers.
pffffttt... Dus Oracle levert brakke Java, gebruikers zijn laks met updaten... Maar jij moet het probleem weer bij MS in de schoenen schuiven.
Wel een makkelijke denkwijze... Er is een probleem, dat schuiven we op MS af. Zo kan iedereen wel software gaan ontwikkelen... Zelf brakke code opleveren, en MS de problemen laten oplossen.
Alsof SUN/Oracle zelf niet groot genoeg is en niet genoeg omzet maakt om zelf de boel goed neer te zetten.
Heel veel hardware devices hebben een java gui voor configuratie.
Inderdaad. Zo lang het windows only is, is het eigen schuld dikke bult.
Ze moeten het zo langzamerhand wel gezien hebben hoe goed dit onder Linux werkt.
Je zou denken dat MS toch belang heeft bij een goed gepatchte machine
Die updates werken bij mij vaak niet, dan moet ik heel java d'r af gooien en weer helemaal schoon installeren. Het is dat ik het soms MOET gebruiken helaas.
Java? Waar heb ik dat nog voor nodig?
Staat al jaren niet meer op mijn systeem.
Ik weet niet hoe lang geleden je Java hebt bijgewerkt, maar wat je beschrijft over een Gig aan Java-updates zie ik al enkele jaren niet meer. (Toen nog) Sun had die kritiek (eindelijk) ter harte genomen, en een updater uitgegeven die keurig de oude installatie verwijdert (of hij hem werkelijk verwijdert/overschrijft, of alleen de entry bij installed software weghaalt kan ik niet zeggen, want nooit geverifieerd)
Die Java update werkt ook niet goed. Na een (re)boot zecht i gelijk dat er updates zijn, maar als je dan ok geeft komt i er achter dat er (nog) geen internet verbinding is en kapt met de update ipv. even te wachten.
Ik moet bewust eerst de verbinding met internet maken, voordat ik ik geef.
Bovendien krijg je de melding niet als je als gewone gebruiker aanlogt ipv administrator. En aanloggen als administrator doe ik zelden.
Ik heb Java niet in mijn browsers aanstaan, en heb het op mijn eigen computers niet geïnstalleerd. Niet alleen heb ik het niet nodig, mijn ervaring met computers op het werk was dat die Java-updates teveel aandacht opeisen, en dat oude installaties niet opgeruimd werden, zodat je op een gegeven moment zo meer dan 1 GB aan onzinnige Java troep op je PC hebt.
Ik ben niet verbaast dat mensen Java niet updaten. Mensen zouden het alleen volledig van hun computer moeten verwijderen, als ze er geen behoefte aan hebben.
Misschien wordt het tijd dat MS java updates via windows update mee laat komen...
Reageer
Preview