Nieuws

Oracle dicht vrachtlading veiligheidslekken Java

Oracle brengt liefst 40 patches uit voor veiligheidslekken in zijn Java SE-productlijn, die tot inbraken kunnen leiden bij verschillende van zijn producten.

Het softwarebedrijf zette dinsdag zijn Critical Patch Update voor juni 2013 online, die in totaal 40 veiligheidslekken repareert. Liefst 37 van die reparaties betreffen het afstoppen van aanvallen die op afstand de controle van een computer kunnen overnemen.

Het grootste deel van de patches zijn bedoeld voor clientversies van Java (34 stuks), waarvan sommigen het etiket “kritiek” dragen.

Vier veiligheidslekken kunnen zowel client- als serverinstallaties treffen en één lek zit in het Java-installatieprogramma, alhoewel die alleen kan worden misbruikt als de aanvaller voor de pc zit.

De patchronde bevat een belangrijke reparatie voor Javadoc, een programma dat wordt gebruikt om API-documentatie vast te leggen in HTML-pagina’s. In alle versies vanaf Javadoc 1.5 zat een kwetsbaarheid die aanvallers de kans gaf om met Javadoc aangemaakte HTML-bestanden te injecteren met kwaadaardige webframes.

Als deze bestanden op een webserver werden gehost, kon dit leiden tot een situatie waarbij bezoekers ongemerkt werden omgeleid naar een malwaresite.

[related_article id=”161920″]

Oracle brengt, naast de patch, ook een nieuw programma uit dat voorheen aangemaakte HTML-bestanden kan wapenen tegen dit zwakke punten. Deze ‘Java API Documentation Updater Tool’ is hier af te halen.

"Zo snel mogelijk" bijwerken
Vanwege de ‘kritieke’ aard van sommige lekken raadt Oracle aan om de patches ‘zo snel mogelijk’ te installaren via zijn updatekanalen, ofwel via de Java Autoupdate-tool of door een bezoek aan de website.

Kwetsbare versies zijn onder meer de Java Development Kit en versies 5, 6 en 7 van de Java Runtime Environment (JRE). Daartoe behoren JDK/JRE update 21 en ouder, JDK/JRE 6 update 45 en JDK/JRE 5.0 update 45 en ouder. Oracle heeft ook veiligheidspatches toegevoegd voor JavaFX 2.2.21 en ouder.

Monsterpatch april
De waslijst reparaties was vorige maand nog veel groter, toen Oracle liefst 128 patches uitbracht. De monsterpatch moest lekken repareren in Oracle Fusion Middleware, Oracle HTTP Server, JRockit, WebCenter en WebLogic. Ook in dit geval konden hackers in veel gevallen via de lekken toegang op afstand krijgen tot een systeem zonder logingegevens te hoeven invoeren.

Oracle kondigde onlangs aan dat het een nieuw, strenger veiligheidsbeleid zal gaan uitoefenen. De volgende grote patchrondes staan op het programma voor 15 oktober 2013 en 14 januari 2014.

Beveiligingjavajavadocjreleknieuwsoraclepatchveiligheid

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600