Beheer

Security

Lekken in Java 6 steeds gevaarlijker

20 september 2013

Java is in gebruik op zeker 3 miljard apparaten. De helft daarvan maakt gebruik van versie 6 of ouder. Versie 6 kwam medio 2006 uit. Volgens Christopher Budd, beveiligingsexpert bij Trend Micro, zijn er nu heel veel aanvallen te zien op deze oudere versies, en dat aantal zal alleen maar toenemen. Via reverse engineering van patches die Oracle nu voor nieuwere versies van Java uitbrengt, komen voor malwareontwikkelaars veel lekken in de oudere versies aan het licht. En de malware die zij daar vervolgens voor ontwikkelen blijft lang bruikbaar, want Oracle zal er nooit meer patches voor uitbrengen.

Budd dringt erop aan dat gebruikers van Java 6 en oudere versies toch zo snel mogelijk overstappen op in elk geval versie 7, waar Oracle nog wel patches voor uitbrengt.

Wanhoop

Dat er nog zo veel gebruikers zijn van oudere versies, komt onder meer doordat die met maatwerkapplicaties werken die flink herschreven moeten worden om op nieuwere versies van Java te draaien. Zo meldt ‘Een wanhopige Oracle-klant’ aan de AutomatiseringGids: “De situatie is aanmerkelijk erger. Wij werken met een applicatie gemaakt met Oracle Forms 10. Die versie werkt alleen met Java 6. Upgraden naar versie 11, hetgeen dus noodzakelijk is om Java 7 te kunnen gebruiken, is technisch niet mogelijk vanwege bugs in Oracle Fusion Middleware 11g. Het is dus geen kwestie van niet willen upgraden, hetzelfde Oracle maakt dat onmogelijk!!! Oracle zet er geen vaart in om die bugs op te lossen en ondertussen laten ze Java 6 verslonzen. Feitelijk is er maar één adequate oplossing: zo snel mogelijk een nieuwe Java 6 versie uitbrengen met fixes voor alle gaten die nu bekend zijn.”

AutomatiseringGids heeft deze wanhoopskreet voorgelegd aan Oracle maar die laat het bij de opmerking dat het niet “publiekelijk kan ingaan op individuele klantgevallen” en adviseert deze klant “contact op te nemen met het Oracle-supportteam zodat Java-experts binnen dit team gericht kunnen kijken naar een oplossing”. Daarnaast wordt hij verwezen naar pagina’s op de website www.java.com voor antwoorden.

Toegangspoort voor hackers

Uit onderzoek van beveiliger Websense blijkt zonneklaar dat ook de nieuwste updates die Oracle uitbrengt, weinig worden doorgevoerd. Uit testen in de ThreatSeeker Intelligence Cloud van Websense, die ruim 900 miljoen endpoints beslaat, blijkt dat in augustus slechts een op de vijf apparaten voorzien is van de nieuwste versie van Java, Java 7, dat al twee jaar beschikbaar is. Ook patches die nog wel zijn uitgegeven, worden in veel gevallen niet doorgevoerd. Zo is ruim 80 procent van de 3 miljard apparaten die met Java werken niet beschermd tegen twee recent gedichte lekken die al volop misbruikt worden en waarvoor Oracle wél patches heeft uitgebracht. “Java is de belangrijkste toegangspoort geworden voor hackers naar de systemen van bedrijven. De lekken zijn gemeengoed geworden in de nieuwste exploit kits”, laat Websense-onderzoeker Carl Leonard weten. Veel beveiligers vragen zich daarom af of het niet beter zou zijn als Oracle Java 6 alsnog blijft ondersteunen en de lekken wel blijft dichten. Die kans is echter klein.

Oracle blijkt zich wel enigszins om de updateproblemen van zijn klanten te bekommeren. Het bedrijf bracht vorige maand in een nieuwe update de zogeheten ‘deployment rule set’ uit. Gebruikersorganisaties kunnen die gebruiken om met een digitaal gesigneerd certificaat bepaalde applicaties op een whitelist te plaatsen. Die kunnen dan nog onder de oudere versies van Java draaien zonder dat gebruikers constant beveiligingsprompts krijgen te verduren en voor allerlei dingen toestemming moeten geven om de applicatie te draaien.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!