Alarm over kritiek Java-lek op Windows, Mac en Linux

[Cumulus007]

http://erratasec.blogspot.nl/2012/08/new-java-0day.html

Code: [Selecteer]


I tried it on Ubuntu 12.04 Linux that is fully patched. I had to remove the default OpenJRE and then downlad and install the Oracle one. The install took longer than the owning (https://sites.google.com/site/easylinuxtipsproject/java).



OpenJDK lijkt dus veilig te zijn! Nóg een reden om weg te blijven van Oracle's closed-source softwarepakketten!

[RikRik]

Oeps, JavaScript is inderdaad geen Java.  Bedankt voor de reacties.  Hoe kan ik gemakkelijk Java tijdelijk uitzetten in Google Chrome ?

Dit heb ik gevonden (ik gebruik geen Chrome)

For Java specifically, Chrome now disables Java by default on all pages and prompts you to allow it to run each time a site needs it.

For more general plugin worries, Chrome allows you to block all plugins on all sites completely, and then allows you to selectively enable them on a page without reloading it.

To enable this, under the Plug-ins section of the settings url: chrome://settings/content select "Block All".

With this option enabled, when you want to run plugins on a page you have 3 options:

    Right click on the plugin and choose "Run this plug-in" from the context menu
    Click the plugin icon in the URL bar and choose "Run all plug-ins this time
    Add an exception for sites you trust so that they can run plugins without your explicit permission each time

chrome://settings/content  in adresbalk van Chrome dan komt het volgende scherm:

Als ik nu het bericht van asphyxia lees moet deze actie voldoende zijn:

Oplossing
Aangezien Oracle nog altijd geen beveiligingsupdate heeft uitgebracht, adviseert het Amerikaanse Computer Emergency Readiness Team (US-CERT) om de Java plug-in uit te schakelen of Firefox NoScript te gebruiken. Via NoScript kunnen gebruikers websites whitelisten die scripts mogen uitvoeren en geinstalleerde plug-ins mogen benaderen. "Dat zal dit lek ook verhelpen", aldus US-CERT in een waarschuwing.

Met Google Chrome is het ook mogelijk om Javascript te blokkeren.  Het is mij niet helemaal duidelijk of dit de oplossing is tegen het Java lek. 

[Cumulus007]

Veel plezier met internetten als je in 2012 JavaScript voor alle websites uit zet .

[RikRik]

Veel plezier met internetten als je in 2012 JavaScript voor alle websites uit zet .

Met 1 klik kan je elke site met javaScript permanent weer activeren op de adresbalk van Chrome . Is helemaal niet moeilijk of lastig..

[Cumulus007]

Veel plezier met internetten als je in 2012 JavaScript voor alle websites uit zet .

Met 1 klik kan je elke site met javaScript permanent weer activeren op de adresbalk van Chrome . Is helemaal niet moeilijk of lastig..

Als je dit topic een beetje hebt gelezen, weet je toch dat Java != JavaScript?

[RikRik]

Veel plezier met internetten als je in 2012 JavaScript voor alle websites uit zet .

Met 1 klik kan je elke site met javaScript permanent weer activeren op de adresbalk van Chrome . Is helemaal niet moeilijk of lastig..

Als je dit topic een beetje hebt gelezen, weet je toch dat Java != JavaScript?

Een eenvoudige vraag: Firefox NoScript is toch hetzelfde als JavaScript uitschakelen in Google Chrome?

[Cumulus007]

Veel plezier met internetten als je in 2012 JavaScript voor alle websites uit zet .

Met 1 klik kan je elke site met javaScript permanent weer activeren op de adresbalk van Chrome . Is helemaal niet moeilijk of lastig..

Als je dit topic een beetje hebt gelezen, weet je toch dat Java != JavaScript?

Een eenvoudige vraag: Firefox NoScript is toch hetzelfde als JavaScript uitschakelen in Google Chrome?

Ze schakelen beide Javascript uit, inderdaad. De vraag is of je daarmee ook maar iets opschiet als het om privacy en veiligheid gaat. Google Analytics werkt met Javascript, maar kun je ook "onschadelijk" maken met een Do Not Track-functie.

Alle JavaScript-API's die direct toegang hebben tot offline opslag, of bij je geografische locatie willen komen (JS is hier niet eens voor nodig), vragen om toestemming in alle gevestigde browsers.

[RikRik]

M.a.w Firefox NoScript  is volgens jou zinloos tegen het Java lek?    (of begrijp ik je verkeerd)

[Cumulus007]

M.a.w Firefox NoScript  is volgens jou zinloos tegen het Java lek?    (of begrijp ik je verkeerd)

NoScript blokkeert ook Java-applets, maar waarom zou je niet gewoon Java uitschakelen in je browser? Dat is een veiligere en minder hinderlijke oplossing.

[asphyxia]

Inderdaad, Java is niet hetzelfde als Javascript.
Daarom was ik ietwat verbaasd dat (zie mijn vorige post) werd gesteld dat NoScript afdoende zou helpen, meer info hier: https://www.kb.cert.org/vuls/id/636312 .
Bij NoScript kan je per site met een muisklik Javascript toestaan. Ook tijdelijk (aan te bevelen). Resteert de vraag natuurlijk, wanneer iets als 'veilig' beschouwd kan worden, ik neem aan dat een exploit-toepasser dit niet met pop-ups op een geïnfecteerde site gaat melden, dus blijft het een soort van SEBCAK-kwestie.

Als openJDK gebouwd is op de laatste JRE, dan ben ik er nog niet zo zeker van of openJDK geheel veilig is. Ik bleek die bij mijn laatste install vergeten te zijn, dus een mens kan blijkbaar best zonder...

[RikRik]

Ook hier http://www.security.nl/artikel/42853/1/%22Aparte_browser_of_Firefox_NoScript_voor_Java-gebruikers%22.html

 Via NoScript kunnen gebruikers websites whitelisten die scripts mogen uitvoeren en geinstalleerde plug-ins mogen benaderen. "Dat zal dit lek ook verhelpen",

Edit  lees zojuist ergens :Chrome

Vanaf versie 11 blokkeert Chrome standaard Java en dien je dit per website toegang te verlenen. Tot er een patch is, dus maar even niets accepteren.

[Cumulus007]

Vraag aan Pjotr of Grizzler:

de  Java(TM) Plug-in 1.7.0_05 die ik heb geïnstalleerd via de Grizzler methode, die moet ik dus uitschakelen voorlopig?

Dat is alles wat ik wil weten.

Ja. Gebruik OpenJDK of Oracle JRE 1.6.

[Dave]

enige keer dak een virus had was van een floppy op een 386 systeem met dos.
Schakel niks uit want zou niet weten wat het gevaar zou moeten zijn. Zit ook niet op een kabel systeem maar achter een router.
Moet het eerste verhaal nog tegen komen dat een dergelijke Linux computer overgenomen of besmet is.
Dat iets in principe zou kunnen is wat anders.

[nicolaasjan]

Ook Nederlandse sites raken al besmet met deze exploit!
Volgens Waarschuwingsdienst.nl :

Code: [Selecteer]

UPDATE 28 augustus 2012 16:30
In Nederland zijn websites actief die bezoekende computers infecteren. Zo hebben advertenties op de website van RTV West op dinsdag 28 augustus 2012 tot 14:00 malware verspreid door misbruik te maken van deze kwetsbaarheid. Wij schalen daarom deze waarschuwing hoger in en brengen deze wederom onder de aandacht.

Ons advies om Java te deïnstalleren of Java tijdelijk uit te zetten blijft van kracht. Uit het onderzoek blijkt dat alleen Java versie 7 en hoger kwetsbaar zijn.Dus vrienden en familie maar even waarschuwen...

[duckie999]

Hallo,

Nu ben ik nog een rookie, maar  het enige da ik erbij heb staan is wat iets te maken heeft met java is:
The IcedTea-Web Plugin executes Java applets.

Deze dus uitschakelen, of is deze wel ok?

Alvast bedant,

Donald

[Tom]

Ik heb ze uitgeschakeld staan.

[Vistaus]

Hangt ervanaf of je IcedTea 6 of 7 hebt.
Waarschijnlijk 6 want, zoals Wanda al in een ander topic aanhaalde, wordt 7 niet ondersteund door Canonical en dus ook niet voorgeïnstalleerd.

[Soul-Sing]

quickjava is een handige addon voor firefox om snel java te disablen/enablen en andere troep te managen.

[Thomas de Graaff]

Kan het zijn dat ik überhaupt geen java plugin heb in Firefox? Kan hem namelijk niet vinden.. Ik heb alleen plugins voor het afspelen van media (flash, quicktime, divx e.d.). Is java eigenlijk onderdeel van een standaardinstallatie van Ubuntu, of moet je dat er later nog handmatig opzetten?

[wowo]

Uitschakelen Java 1.7.0_05  in Chrome:
Ga naar instellingen ; klik op geavanceerde instellingen weergeven.
Privacy > Instellingen voor inhoud > Plug-ins > Afzonderlijke plug-ins uitschakelen > Klik op uitschakelen.

NB ik zie op die plek nu ook staan:
Kritieke beveiligingsupdate downloaden.
Wie weet daar iets meer van ?

[wowo]

Kan het zijn dat ik überhaupt geen java plugin heb in Firefox? Kan hem namelijk niet vinden.. Ik heb alleen plugins voor het afspelen van media (flash, quicktime, divx e.d.). Is java eigenlijk onderdeel van een standaardinstallatie van Ubuntu, of moet je dat er later nog handmatig opzetten?

Java is niet standaard en dus kan je deze plug-in er achteraf zelf bijzetten.
Vroeger maakte ING electronisch bankieren daar gebruik van. Als je de plug-in niet had dan kon het niet. Gelukkig zijn ze er nu vanaf gestapt.

[Thomas de Graaff]

Ok, gelukkig, dan hoef ik me dus geen zorgen te maken. Nooit geweten dat ik java niet had, blijkbaar heb ik het nooit nodig gehad.

[RikRik]

Ok, gelukkig, dan hoef ik me dus geen zorgen te maken. Nooit geweten dat ik java niet had, blijkbaar heb ik het nooit nodig gehad.

Als je Ubuntu restricted extra's installeer,heb je dan niet automatisch ook java geïnstalleerd?
Ubuntu restricted extras
Commonly used applications with restricted copyright (mp3, avi, mpeg, TrueType, Java, Flash, Codecs)

[Joris Donders]

Ok, gelukkig, dan hoef ik me dus geen zorgen te maken. Nooit geweten dat ik java niet had, blijkbaar heb ik het nooit nodig gehad.

Dat is het hem nu net; eigenlijk heb je Java (vooral de plugin) voor extreem weinig nodig. Gelukkig is bijna alles geëvolueerd zodat je die runtime voor weinig nodig hebt (Libre Office maakt er voor sommige bewerkingen gebruik van, maar je kan ook best zonder). Het valt op dat er ook effectief weinig zijn die eraan gedacht hebben om het überhaupt te installeren (wat een goede tendens is).

Diegenen die gewoon die dingen installeren maken op die manier hun eigen werkomgeving randje onbetrouwbaar in combinatie met internet. Java is sowieso onveilig welke update ze er ook tegenaan gooien, heel sterk af te raden wanneer je veel 'vrij' surft.

Die addon van Leoquant is een goede tip: je kan heel makkelijk Java uitschakelen en inschakelen wanneer je denkt dat je hem nodig hebt. Maar zoals Femke zei: het is een addon en dan heb je het raden naar wat de impact is op je browser.

[asphyxia]

Als je Ubuntu restricted extra's installeer,heb je dan niet automatisch ook java geïnstalleerd?
Ubuntu restricted extras
Commonly used applications with restricted copyright (mp3, avi, mpeg, TrueType, Java, Flash, Codecs)

Ik denk dat dit een spraakverwarring is.
Waar het om gaat, is openJDK en de icedtea-7-plugin. Die staan niet geinstalleerd als je ubuntu-restricted-extras hebt, en moet je apart erbij installeren.

Nu heb ik enkele weken geleden  een fresh install gedaan, en heb ik die over het hoofd gezien. Maar ik heb het ook niet nodig gehad, en dat gaat verder zo blijven, vermoed ik.