Nieuwe update maakt Java niet veilig
Oracle rolt een update voor Java uit die de onlangs ontdekte kwetsbaarheid in de software verhelpt. Beveiligingsonderzoekers hebben echter weinig vertrouwen in Oracle en waarschuwen dat Java ondanks de update kwetsbaar blijft voor aanvallen voor hackers.
Meerdere beveiligingsonderzoekers stellen dat de update Java niet veilig maakt. Adam Gowdiak, onderzoeker bij het Poolse Security Explorations, stelt tegen Reuters dat Oracle in de update voor Java een meerdere kritieke beveiligingslekken niet verhelpt. “Wij durven gebruikers niet te vertellen dat het veilig is Java weer in te schakelen”, stelt Gowdiak.
‘Java is voorlopig niet veilig’
HD Moore, Chief Security Officer bij Rapid7, stelt dat het nog twee jaar kan duren voordat Oracle alle beveiligingslekken die tot nu toe in de Java-plugin voor webbrowsers zijn gevonden heeft verholpen. Rapid7 is een bedrijf dat klanten helpt kritieke beveiligingslekken in hun netwerken te identificeren. Sommige beveiligingsconcultants adviseren bedrijven Java uit alle webbrowsers van werknemers te verwijderen, behalve als werknemers echt niet zonder de technologie kunnen.
Afgelopen week is een beveiligingslek in Java ontdekt die aanvallers de mogelijkheid biedt websites te besmetten, waarna bezoekers automatisch en ongemerkt worden besmet met malware. Het lek zou onder andere worden gebruikt om computers in ‘gijzeling’ te nemen, waarna gebruikers moeten betalen om de machine en hun bestanden weer te kunnen gebruiken. Apple schakelde in een reactie Java uit op alle webbrowser op de Mac. Mozilla heeft de ‘click to play’-functie in Firefox ingeschakeld, waardoor gebruikers handmatig Java-content moeten starten. Het automatisch installeren van malware is hierdoor onmogelijk.