Video: CS:GO Большое обновление - Новое меню покупки, настройка прицела, Нашивки и т.д. (November 2024)
In juni hebben we u verteld hoe Oracle beloofde het beter te doen met Java en het platform vaker te updaten. Dit was de sluitsteen van een reeks beschamende afleveringen waarbij Java keer op keer werd gebruikt om gebruikers aan te vallen. Deze week heeft Oracle de eerste van een nieuwe reeks updates voor Java uitgebracht, die naar verwachting de drie miljard apparaten die hun product uitvoeren veiliger zal maken. Dat is misschien waar, maar de update is angstaanjagend groot met even angstaanjagende implicaties.
Sneller patchen
Voorheen werd Java drie keer per jaar bijgewerkt, maar vanaf deze week wordt het elk kwartaal bijgewerkt samen met de rest van Oracle's producten als onderdeel van hun Critical Patch Update of CPU (ik zie wat je daar deed, Oracle).
Over het geheel genomen bevat de update 127 beveiligingsfixes. Hiervan zijn er 51 voor Java en - hier is het enge deel - kunnen 50 van die kwetsbaarheden, in de woorden van Oracle, "op afstand exploiteerbaar zijn zonder authenticatie."
Maar oh, het wordt beter. Op de Qualys-blog schrijft CTO Wolfgang Kandek "12 kwetsbaarheden met de hoogste CVSSv2-score van 10, wat aangeeft dat deze kwetsbaarheden kunnen worden gebruikt om volledige controle over de aangevallen machine over het netwerk te krijgen zonder authenticatie te vereisen." Hij merkt verder op dat de meeste updates van invloed zijn op laptop- en desktopgebruikers (bijv. Jij, die dit nu leest), maar er zijn twee zeer kritieke updates met betrekking tot serverinstallaties.
Tijd om te updaten!
De meeste gebruikers zullen waarschijnlijk automatisch updates ontvangen, maar voor de zekerheid heeft Oracle een nuttige pagina verstrekt om te testen welke versie u gebruikt. Als een verouderde installatie wordt gedetecteerd, wordt u gevraagd om de update te downloaden en te installeren. Merk op dat de nieuwste versie van deze week Java 7 update 45 is.
Ik ga even de tijd nemen om gebruikers eraan te herinneren heel voorzichtig te zijn bij het handmatig bijwerken van Java, omdat het je zal proberen te overtuigen om de Ask.com-werkbalk te installeren en je standaardzoekmachine te wijzigen in Ask.
Te weinig?
Hoewel het goed is om Oracle hun beveiligingsspel te zien opvoeren, heeft niet iedereen de beweging van Oracle voorgezeten. Sophos Senior beveiligingsadviseur Chester Wisniewski schreef op de blog van zijn bedrijf dat dit te laat aanvoelt. "Als uw reputatie zo slecht is en u meer dan een miljard gebruikers blootstelt aan uw fouten, moet u sneller reageren."
Wisniewski ging verder met insinueren dat de prioriteiten van Oracle verkeerd waren uitgelijnd, en had het lef om de boot met het Oracle-merk van Larry Ellison aan te vallen die onlangs de America's Cup won. "Leg de prijs op de plank in uw lobby, verkoop de boot van tien miljoen dollar en huur de technici in die nodig zijn om de Java-patchcyclus maandelijks bij te werken met het extra geld", schreef Wisniewski. "Meer dan 3 miljard apparaten zullen je bedanken."
Het bijwerken van uw Java-installatie is de beste manier om uzelf te beschermen tegen op Java gebaseerde aanvallen, die in veel exploitkits zijn ingebouwd en vaak door aanvallers worden gebruikt. Je kunt natuurlijk altijd de stekker uit het stopcontact trekken en Java helemaal uitschakelen.
