Beveiligingsexperts na Oracle-update: dump Java
Java-applets worden na een update van Oracle niet meer automatisch gedraaid in de browser. Maar beveiligingsexperts vinden dat Java onveilig blijft en dat de doorsnee gebruiker Java beter kan wissen.
Met een update die een kritiek lek oplost dat vorige week werd ontdekt in Java 7, zorgt Oracle er nu ook voor dat Java-applets niet meer automatisch worden gestart. Daarmee probeert de softwaremaker de populaire drive-by-aanval via Java aan te pakken. Maar beveiligingsonderzoekers vinden ondanks deze maatregel dat de gemiddelde gebruiker Java maar beter kan verwijderen van de computer.
Oracle pakt drive-by's aan
De update van Oracle zorgt ervoor dat drive-by's - waarbij schadelijke software wordt geïnstalleerd via de browser zonder dat een gebruiker er iets tegen kan doen - niet meer zo makkelijk kunnen worden opgezet. Oracle haast zich ook om te zeggen dat het pas ontdekte lek niet Java-breed is, maar enkel van toepassing is op de plug-in voor de browser.
Het komt Java (en Oracle dat Java-eigenaar Sun opslokte in 2009) al enkele jaren op kritiek te staan dat de plug-in om Java-elementen automatisch te starten browsers onveiliger maakt. Apple is daarom in OS X vorig jaar overgegaan op het verwijderen van de plug-in. Mozilla's Firefox blokkeert verouderde plug-ins, zodat exploit-kits minder effectief kunnen worden ingezet door cybercriminelen tegen reeds gepatchte Java-lekken.
Het Amerikaanse ministerie Homeland Security adviseerde vorige week via cybercentrum US-CERT dat gebruikers Java maar beter kunnen uitschakelen. Vooraanstaande beveiligingsexperts als Brian Krebs en HD Moore waarschuwen al jaren dat internetters maar beter de plug-in uit kunnen zetten om veilig te kunnen browsen. De stap van Oracle om Java-inhoud niet meer automatisch af te spelen, verandert niet veel aan het advies van deskundigen.
Experts: verwijder Java
HD Moore van Rapid7, bekend van de pentesttool Metasploit, zegt tegenover persbureau Reuters dat het nog jaren duurt voor Java veilig is. “Het is het veiligste om simpelweg aan te nemen dat Java altijd kwetsbaar is. Mensen hebben Java echt niet nodig op hun pc", aldus Moore. In een gesprek op Twitter wijst een hacker hem erop dat het niet moeilijk is om een gebruiker op een appletje te laten klikken. Moore concludeert ironisch dat Java nu net zo veilig is als ActiveX in 2005.
Ook Brian Krebs blijft adviseren dat de doorsnee computergebruiker Java gewoon dumpt. Hij roept al jaren dat een gewone internetgebruiker prima kan surfen zonder Java. “Het is mooi dat Oracle deze kwetsbaarheid zo vlug heeft gepatcht, maar ik blijf lezers adviseren om het programma helemaal te verwijderen tenzij er een specifieke noodzaak voor is", schrijft de beveiligingsexpert.
Hij wijst erop dat Oracle dit gat al eens eerder probeerde aan te pakken. En die poging faalde jammerlijk, zo blijkt uit het opduiken van de nieuwe exploit die in kits als Blackhole en Cool zijn aangetroffen. "Het lijkt erop dat malwareschrijvers constant nieuwe zeroday-gaten ontdekken in Java en daarom zou ik niet verrast zijn als dit zeroday-incident zich over een maand of wat herhaalt", aldus Krebs.
Java helemaal herschrijven
Java moet zelfs helemaal opnieuw geschreven worden, vindt onderzoeker Bogdan Botezatu van antivirusbedrijf Bitdefender. Hij stelt dat Oracle de controle over Java compleet kwijt is. Omdat het al zo lang bestaat en patch op patch wordt gestapeld hangt de programmeertaal volgens Botezatu aan elkaar van herzieningen. “Oracle moet een aantal kerncomponenten van Java geheel herschrijven", zegt hij tegen Webwerelds zustersite PCWorld.
Update 15-01-2013: US-CERT heeft na de update zijn waarschuwingsbericht aangepast, maar blijft adviseren om de browser-plug-in uit te schakelen via het configuratiepaneel.