Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Alarm over kritiek Java-lek op Windows, Mac en Linux  (gelezen 28747 keer)

Alarm over kritiek Java-lek op Windows, Mac en Linux
« Gepost op: 2012/08/28, 13:15:25 »
Gaarne de nodige voorzichtigheid in acht nemen m.b.t. Java i.v.m. een kritiek en gevaarlijk lek. Lees er HIER meer over....

Het kritieke lek wordt nu al misbruikt....
I'm just a simple guy who uses open source software. What's your excuse?

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #1 Gepost op: 2012/08/28, 13:19:48 »
Inderdaad.... Beter tijdelijk even uitschakelen in de browser.

Firefox: Extra - Add-ons - Plug-ins - klik bij Java op de knop Uitschakelen. Herstart daarna Firefox.

Vermoedelijk (hopelijk) komt er snel een reparatie. De eerste reguliere veiligheidsbijwerking van Java is pas gepland in oktober....

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #2 Gepost op: 2012/08/28, 13:22:09 »
Wat ik me bij zulke dingen altijd afvraag: Is OpenJDK wel veilig? In de berichtgeving gaat het (uiteraard vanuit Windows- en/of Macperspectief) altijd over Oracle Java maar ik weet niet of de slechte code waar het om gaat ook in OpenJDK zit.

Offline RikRik

  • Lid
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #3 Gepost op: 2012/08/28, 13:23:07 »
Ik had gisteren het bericht ook gelezen.. Vraag mij af of Linux gebruikers zich zorgen moeten maken:
Java 7 update 6 dicht geen beveiligingslekken, dus noodzakelijk is deze update niet. Wel is net vandaag bekend geworden dat er een zero-day lek in Java zit dat al door internet criminelen uitgebuit wordt. Hackers proberen via dit Java-lek een Trojaans paard op je pc te installeren. Het bezoeken van schadelijke websites is hiervoor voldoende.

http://www.gratissoftwaresite.nl/downloads/Java+7+update+6+nog+zero+day+openstaan


Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #4 Gepost op: 2012/08/28, 13:26:55 »
Ook Linux is in gevaar hierbij. Net zo goed als Windows.

De status van openJDK is mij niet bekend; veiligheidshalve zou ik die ook tijdelijk even uitschakelen.

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #5 Gepost op: 2012/08/28, 13:30:36 »
Ik zit het net te lezen en wilde het ook al hier melden, maar je was me voor.  ;)

Als Oracle niet met een noodpatch komt gaat dit nog voor grote problemen zorgen...
Let wel:  Ook Mac OS X en Linux zijn kwetsbaar!
  [edit] Ik typ weer eens te langzaam... Pjotr schreef dit net ook al...

Ik heb voor de zekerheid Java maar uitgeschakeld in Firefox.
« Laatst bewerkt op: 2012/08/28, 13:33:29 door nicolaasjan »
Linux Mint 19.3 Mate

Offline asphyxia

  • Forumteam
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #6 Gepost op: 2012/08/28, 13:35:46 »
Screenshots en meer uitleg hier: http://erratasec.blogspot.nl/2012/08/new-java-0day.html.
Het kan al worden toegepast via Metasploit, ook gewoon op Ubuntu 12.04.

Ik heb sowieso NoScript standaard aanstaan in Firefox, hopelijk is dat afdoende.
Als de werkelijkheid er niet was, zou de wereld er heel anders uitzien. [Theo Maassen]
Alles is te kraken, niets is veilig, zorg dus voor zoveel mogelijk niets. [Ramana]

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #7 Gepost op: 2012/08/28, 14:03:55 »
Ook Linux is in gevaar hierbij. Net zo goed als Windows.

De status van openJDK is mij niet bekend; veiligheidshalve zou ik die ook tijdelijk even uitschakelen.

Aangezien Java 7 de target is en OpenJDK 7 de basis is voor Java 7 lijkt het mij dat ook OpenJDK niet veilig is momenteel.

Offline RikRik

  • Lid
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #8 Gepost op: 2012/08/28, 14:44:30 »
Ik gebruik geen Firefox vandaar deze tip  ;)
Java ( tijdelijk) uitschakelen in Gooogle Chrome:
in adresbalk type of plak:
chrome://chrome/settings/contentNiet toestaan dat sites JavaScript uitvoeren   aanvinken
Je kan ook hier uitzonderingen instellen als java voor een bepaalde website noodzakelijk is

 
« Laatst bewerkt op: 2012/08/28, 14:49:03 door RikRik »

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #9 Gepost op: 2012/08/28, 14:50:46 »
Ik had gisteren het bericht ook gelezen.. Vraag mij af of Linux gebruikers zich zorgen moeten maken:
Java 7 update 6 dicht geen beveiligingslekken, dus noodzakelijk is deze update niet. Wel is net vandaag bekend geworden dat er een zero-day lek in Java zit dat al door internet criminelen uitgebuit wordt. Hackers proberen via dit Java-lek een Trojaans paard op je pc te installeren. Het bezoeken van schadelijke websites is hiervoor voldoende.

http://www.gratissoftwaresite.nl/downloads/Java+7+update+6+nog+zero+day+openstaan

Deze manier van hacken op je systeem is zeker niet nieuw; dat bestond al met java4 en hacks via Yahoo-mailboxen anno 2004 en later.

Het is beter je af te vragen of je überhaupt Java (zowel Open als Oracle's) nodig hebt. Bij mij is het al lang uitgeschakeld.
Gubuntu 17.04 wegens verdwijnen Unity binnenkort

Offline RikRik

  • Lid
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #10 Gepost op: 2012/08/28, 14:54:22 »
Ik had gisteren het bericht ook gelezen.. Vraag mij af of Linux gebruikers zich zorgen moeten maken:
Java 7 update 6 dicht geen beveiligingslekken, dus noodzakelijk is deze update niet. Wel is net vandaag bekend geworden dat er een zero-day lek in Java zit dat al door internet criminelen uitgebuit wordt. Hackers proberen via dit Java-lek een Trojaans paard op je pc te installeren. Het bezoeken van schadelijke websites is hiervoor voldoende.

http://www.gratissoftwaresite.nl/downloads/Java+7+update+6+nog+zero+day+openstaan

Deze manier van hacken op je systeem is zeker niet nieuw; dat bestond al met java4 en hacks via Yahoo-mailboxen anno 2004 en later.

Het is beter je af te vragen of je überhaupt Java (zowel Open als Oracle's) nodig hebt. Bij mij is het al lang uitgeschakeld.
Bijvoorbeeld youtube werkt na het uitschakelen van javascript niet meer, zijn ze hier thuis echt niet blij mee...
http://forum.ubuntu-nl.org/ gebruikt ook java, door, rechts op de balk,  op het rode kruis te klikken kan je op het ubuntuforum java gebruiken..  De melding aanvinken: javascript altijd toestaan op  forum.ubuntu-nl.org
« Laatst bewerkt op: 2012/08/28, 15:03:54 door RikRik »

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #11 Gepost op: 2012/08/28, 15:00:08 »
Youtube werkt toch op Flash ? (en langzaamaan op HTML5) Daarvoor heb je geen Java nodig hoor ;)

Mijn Kubuntu laptop heeft gewoon geen Java erop, en ik kan toch alle filmpjes kijken.

Ook FB, Twitter, Hotmail enz werken allemaal perfect zonder Java.
Gubuntu 17.04 wegens verdwijnen Unity binnenkort

Offline RikRik

  • Lid
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #12 Gepost op: 2012/08/28, 15:10:06 »
Youtube werkt toch op Flash ? (en langzaamaan op HTML5) Daarvoor heb je geen Java nodig hoor ;)

Mijn Kubuntu laptop heeft gewoon geen Java erop, en ik kan toch alle filmpjes kijken.

Ook FB, Twitter, Hotmail enz werken allemaal perfect zonder Java.
Ik heb javascript uitgeschakeld zoals ik beschreef maar kan dan geen youtube  bekijken  De melding komt: javascript toestaan op www.youtube
Na het toestaan van java heb ik weer beeld

Offline atomos

  • Lid
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #13 Gepost op: 2012/08/28, 15:32:07 »
javascript is GEEN java, dat zijn twee totaal verschillende dingen.
☺Asuswrt-Merlin on Netgear R7000 ⚛
☺☞Ubuntu 20,00 ,x64.☜⚛
☺ Raspberry pi B+,2B, 3B, 4 , arduino mega,nano,uno,ethernetshield, etc ☺
CP/N,dos,msdos,win2,win3.11,win95,win98,NT3.5,NT4,win2000,winXP,win-vista,win10,netwerken,virtualmachines  (2006)Linux

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #14 Gepost op: 2012/08/28, 15:33:19 »
Ik gebruik geen Firefox vandaar deze tip  ;)
Java ( tijdelijk) uitschakelen in Gooogle Chrome:
in adresbalk type of plak:
chrome://chrome/settings/contentNiet toestaan dat sites JavaScript uitvoeren   aanvinken
Je kan ook hier uitzonderingen instellen als java voor een bepaalde website noodzakelijk is

 

JavaScript is iets anders dan Java.

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #15 Gepost op: 2012/08/28, 16:16:39 »
Ik zal het niet nog een keer herhalen maar wat Vistaus en Atomos zeggen is wel belangrijk om te lezen.  ;)

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #16 Gepost op: 2012/08/28, 16:41:16 »
Screenshots en meer uitleg hier: http://erratasec.blogspot.nl/2012/08/new-java-0day.html.
Het kan al worden toegepast via Metasploit, ook gewoon op Ubuntu 12.04.

Ik heb sowieso NoScript standaard aanstaan in Firefox, hopelijk is dat afdoende.

Ik zou eerder opperen om Java compleet uit te schakelen. NoScript is dacht ik voor JavaScript en niet specifiek voor Java zelf (zoals algemeen beaamd is door de anderen). Even deïnstalleren tot er een afdoende oplossing is zou ideaal zijn, maar eerlijk gezegd: met Java kan je nooit op je 2 oren slapen = zeer onveilig ding op je computer, en dat is het altijd al geweest.
Gubuntu 17.04 wegens verdwijnen Unity binnenkort

Offline RikRik

  • Lid
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #17 Gepost op: 2012/08/28, 16:49:46 »
Oeps, JavaScript is inderdaad geen Java.  Bedankt voor de reacties.  Hoe kan ik gemakkelijk Java tijdelijk uitzetten in Google Chrome ?

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #18 Gepost op: 2012/08/28, 16:59:59 »
Oeps, JavaScript is inderdaad geen Java.  Bedankt voor de reacties.  Hoe kan ik gemakkelijk Java tijdelijk uitzetten in Google Chrome ?

Dit heb ik gevonden (ik gebruik geen Chrome)
Citaat
For Java specifically, Chrome now disables Java by default on all pages and prompts you to allow it to run each time a site needs it.

For more general plugin worries, Chrome allows you to block all plugins on all sites completely, and then allows you to selectively enable them on a page without reloading it.

To enable this, under the Plug-ins section of the settings url: chrome://settings/content select "Block All".

With this option enabled, when you want to run plugins on a page you have 3 options:

    Right click on the plugin and choose "Run this plug-in" from the context menu
    Click the plugin icon in the URL bar and choose "Run all plug-ins this time
    Add an exception for sites you trust so that they can run plugins without your explicit permission each time

Gubuntu 17.04 wegens verdwijnen Unity binnenkort

Offline midas

  • Lid
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #19 Gepost op: 2012/08/28, 17:01:03 »
In Libre Office staat Java ook standaard ingeschakeld....wanneer nog niet gedaan, daar ook maar uitschakelen dus.
Linux Mint 20.2 Cinnamon

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #20 Gepost op: 2012/08/28, 17:07:46 »
In Libre Office staat Java ook standaard ingeschakeld....wanneer nog niet gedaan, daar ook maar uitschakelen dus.

Langs daar inhacken lijkt me aards moeilijk, ik vermoed dat je daar weinig of geen problemen zult ondervinden.
Wat ik weet van Windows 7 en XP Firewalls is dat LO (open office) wel degelijk 'beveiligd' zit achter je Firewall. Java echter staat in alle firewalls (commercieel en die van Windows zelf) transparant (wil zeggen in en uitgaand verkeer staan gewoon open) en daar zit nu net het probleem: dat is altijd uitbuitbaar.

Trek die logica door naar een Linux Firewall en ik vermoed dat dat hetzelfde ding zal zijn, dat Java (zowel Open als Oracle) ook zo in de Firewall van Linux zit. Dat is niet een fout van de Firewall; het is gewoon Java die dat nodig heeft.
Gubuntu 17.04 wegens verdwijnen Unity binnenkort

Offline asphyxia

  • Forumteam
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #21 Gepost op: 2012/08/28, 17:10:20 »
Klopt, Java en Javascript zijn twee verschillende dingen.
Toch wordt ook dit gemeld: http://www.security.nl/artikel/42853/1/%22Aparte_browser_of_Firefox_NoScript_voor_Java-gebruikers%22.html

Ik laat het aan de Java-experts over of dit wel of niet een rammelend verhaal is, daar heb ik geen kaas van gegeten.
Als de werkelijkheid er niet was, zou de wereld er heel anders uitzien. [Theo Maassen]
Alles is te kraken, niets is veilig, zorg dus voor zoveel mogelijk niets. [Ramana]

Offline Tom

  • Lid
Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #22 Gepost op: 2012/08/28, 17:22:27 »
Heb de IcedTea Web-plugin uitgeschakeld in FF ,plus NoScript in gebruik (altijd al) en voor de rest laat maar draaien.
Netbook Xuby Xenial 16.04.5 Lts (totaal gestripte versie). Desktop Xuby Bionic 18.04.6 Lts Gestripte versie - Laptop Xuby Bionic 18.04.6 Lts. Ubuntu CoC Signed.Yes.

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #23 Gepost op: 2012/08/28, 17:29:54 »
In mijn verse installatie van Ubuntu is standaard niets van Java geïnstalleerd zie ik nu. Geen OpenJDK (uiteraard ook geen Oracle Java) en geen IcedTea. Dat is mooi meegenomen.

Re: Alarm over kritiek Java-lek op Windows, Mac en Linux
« Reactie #24 Gepost op: 2012/08/28, 17:36:17 »
Ik gebruik net als erik1984 geen Java/openJDK, dus maak ik me ook geen zorgen...  8-)
Even over de discussie of openJDK ook geraakt zou zijn door dit lek, merk op dat er in het 2e artikel dat wordt aangehaald staat "...wanneer Oracle een patch uitbrengt.". Zover ik weet wordt openJDK niet ontwikkeld door Oracle, dus dat zou ófwel betekenen dat openJDK, als Oracle een patch uitbrengt, alsnog vatbaar blijft voor dit lek, ófwel de lek zit in het Oracle Java - deel en hoeven openJDK gebruikers zich geen zorgen te maken  :)