Stof tot nadenken : 94% Java-gebruikers kwetsbaar voor malware

[Erik]

https://www.security.nl/artikel/45643/1/94%25_Java-gebruikers_kwetsbaar_voor_malware.html

Het is niet verwonderlijk dat Java het favoriete doelwit van cybercriminelen is, veruit de meeste gebruikers gebruiken namelijk een onveilige versie. Uit eerdere onderzoeken was al bekend dat Java-gebruikers traag zijn met het installeren van updates, maar de meest recente cijfers laten een nog schokkender beeld zien. 94% van de Java-gebruikers mist minimaal de laatste beveiligingsupdate.

Meer dan de helft van de browsers met de Java plug-in loopt zelfs twee jaar achter. Dat blijkt uit onderzoek van Websense, dat miljoenen computers analyseerde. Inmiddels is er de Cool exploit-kit die lekken in Java 7 Update 15 en Java 6 Update 41 misbruikt.

Het bezoeken van een kwaadaardige of gehackte website waar deze exploit-kit draait is voldoende om besmet te raken als er een onveilige Java-versie wordt gebruikt. De meest recente Java-versie is Java 7 Update 17, die is door slechts 5,2% van de Java-gebruikers is geïnstalleerd.

Verouderd
Een ander bekend Java-lek is 'CVE-2012-0507', aanwezig in Java 7 Update 2 en Java 6 Update 30. Dit lek werd in februari 2012 door Oracle gepatcht. Toch heeft 59,5% van de Java-gebruikers deze update niet geïnstalleerd en loopt dus groot risico. 75% van de gebruikers gebruikt een Java-versie die tenminste 6 maanden oud is. Bijna tweederde loopt een jaar achter en meer dan de helft zelfs twee jaar.

Verder blijkt dat 21% nog steeds Java 6 gebruikt, een versie die niet meer door Oracle met beveiligingsupdates wordt ondersteund. "Het is duidelijk dat niet alleen de zero-day-aanvallen alle aandacht horen te krijgen", zegt analist Charles Renert.

[alexander2]

Is het te simpel gedacht om Java uit te schakelen?

[Erik]

Is het te simpel gedacht om Java uit te schakelen?

In de browser zeker, ik heb nog niks gehad wat het niet deed. Ik ben zelfs 1 stap verder gegaan en heb java 2 maanden terug in zijn geheel verwijderd. Alles werkt nog behalve "airplay it" zo'n server package die je op de pc moet starten. Die bleek geheel in java gebouwd. Maar daarvoor ga ik echt niet speciaal java installeren. 

[dennism]

Voor consumenten is Java in 99% van de gevallen nutteloos, bijna geen enkele consumenten applicatie op de PC gebruikt Java.

Echter voor zakelijke applicaties is dit weer volledig anders, erg veel zakelijk semi webapplicaties of web interfaces gebruikt Java. Vooral de zakelijke markt moet dus opletten met Java, en uiteraar ook de enkele consumenten die het nodig hebben voor bepaalde apps. Zorg erg altijd voor dat als je Java nodig hebt, deze up to date is, en wanneer je er niet zeker van bent in een prive situatie, verwijder Java dan en herinstalleer alleen wanneer expliciet nodig (en dan altijd de laatste versie, oudere versie's nooit gebruiken. liever een app die niet werkt dan een zeer onveilige pc).

[Erik]

Een bijkomend probleem was ook dat als je een nieuwe versie installeerde hij soms de oude versie niet verwijderde, waardooor je zelfs met de nieuwste updates alsnog kwetsbaar was voor exploits van oude versies.

[Erik]

Oracle zal morgen een monsterpatch voor Java uitbrengen waarmee het 42 beveiligingslekken zal verhelpen. 39 van de 42 kwetsbaarheden zijn zo ernstig dat alleen het bezoeken van een gehackte of kwaadaardige website voldoende is om een aanvaller controle over de computer te geven. De update is onderdeel van de geplande patchronde, die Oracle de Critical Patch Update noemt.

Net als Microsoft waarschuwt ook Oracle systeembeheerders en thuisgebruikers van tevoren voor aankomende patches. De updates die morgen verschijnen zijn voor Java 7 Update 17 en eerder, Java 6 Update 43 en eerder en Java 5 Update 41 en eerder.

Oracle adviseert gebruikers om de updates van morgen zo snel als mogelijk te installeren, hoewel uit de praktijk blijkt dat dit zelden gebeurt. Onlangs verscheen er nog een onderzoek waaruit bleek dat 94% van alle computers met Java verouderde en onveilige versies gebruiken. Slechts 6% beschikte over de meest recente versie.