Advertentie
Java, ooit een essentieel onderdeel van het web, is de afgelopen jaren steeds populairder geworden. De meeste moderne browsers blokkeren standaard Java en de meeste thuisgebruikers hoeven het niet meer te installeren.
We hebben al lang gehoord dat Java het meest onveilige stuk software is voor desktopcomputers, vooral Windows. Maar is dat nog steeds zo? Laten we ingaan en ontdekken.
De historische problemen met Java
De belangrijkste reden waarom Java zo'n populair doelwit voor aanvallen is geworden, is hoe wijdverbreid het is. Omdat Java is ontworpen voor maximale compatibiliteit, werkt het op een groot aantal apparaten. Naast computers, ondersteunt Java Blu-ray-spelers, printers, parkeerbetalingssystemen, loterij-apparaten en nog veel meer. Het is het tegenovergestelde van beveiliging door onduidelijkheid: een groot platform biedt de beste uitbetaling voor een aanval.
Natuurlijk zijn we bezorgd over Java op de desktop. En daar is het ergste feit dat Java zichzelf niet automatisch bijwerkt. In tegenstelling tot de meeste andere moderne programma's, vraagt Java de gebruiker eenvoudigweg om updates te installeren wanneer deze beschikbaar zijn. Erger nog, Java controleert standaard slechts één keer per week of zelfs één keer per maand op updates. Dat is gevaarlijk voor een app met zoveel beveiligingsproblemen.
Veel mensen zien de update-prompt en negeren deze, waardoor ze een verouderde versie van Java gebruiken. En aangezien er regelmatig nieuwe versies worden aangeboden, kunnen zelfs degenen die sommige updates installeren gefrustreerd raken en andere negeren. In sommige gevallen, zelfs wanneer gebruikers een nieuwe versie installeren, laten ze ook de oude kopie van Java geïnstalleerd. Dit vergroot hun kwetsbaarheid voor aanvallen.
Natuurlijk mogen we Java's langlopende sage over opnemen niet vergeten de vreselijke Ask-werkbalk. Elke keer dat u Java installeerde of bijwerkte, moest u onthouden dat u een vakje uitschakelde, anders zou dat stuk rommel erin zitten. Hoewel dit geen misbruik was, liet dit een slechte smaak achter in de mond van gebruikers.
Java wordt vandaag 22 jaar.
We moeten Oracle een taart sturen met de Ask-werkbalk erop.
- Tim Barrett (@timbarrett) 24 januari 2018
Modern Java
Dus dat was in het verleden verkeerd met Java, maar hoe zit het recentelijk?
In oktober 2017 ontdekte Veracode [Niet langer beschikbaar] dat 88 procent van de Java-applicaties ten minste één kwetsbaar onderdeel bevat. Dat kondigde Oracle begin 2016 aan zelfs het Java-installatieprogramma was kwetsbaar. Als een aanvaller een DLL-bestand met een specifieke naam in uw map Downloads heeft geplaatst, zou dit een infectie veroorzaken wanneer u het Java-installatieprogramma uitvoert. En in het algemeen zou je, vanwege de populariteit van Java, dat alleen hoeven te doen bezoek een gecompromitteerde website die gebruik heeft gemaakt van uw verouderde exemplaar van Java om te worden geïnfecteerd.
Hoewel dit betekent dat Java verre van veilig is, is er ook goed nieuws. Begin 2016 Oracle heeft aangekondigd dat het van plan is de Java-browserplug-in (wat de bron van de meeste problemen is) te beëindigen in JDK 9, die nu beschikbaar is. Moderne browsers hebben Java ook achter zich gelaten. Chrome heeft de ondersteuning voor Java stopgezet eind 2015, en Firefox ondersteunt het niet meer begin 2017. De Edge-browser van Microsoft, meegeleverd met Windows 10, ondersteunt helemaal geen Java.
Dit betekent dat als je echt Java in een browser moet gebruiken, je bij Internet Explorer moet blijven.
De grootste kwetsbaarheden
Aangezien Java steeds populairder wordt, wat heeft dan de plaats ingenomen als de meest onveilige desktopsoftware?
Flexera's nieuwste gegevens, vanaf Q1 2017, blijkt dat 7,8% van de programma's op de gemiddelde pc het einde van hun levensduur heeft bereikt. Het staat in de top 10 van meest blootgestelde programma's, op basis van marktaandeel vermenigvuldigd met het percentage gebruikers dat niet is gepatcht:
- iTunes 12.x
- Java 8.x
- VLC Media Player 2.x
- Adobe Reader XI 11.x
- Adobe Shockwave Player 12.x
- Malwarebytes Anti-Malware 2.x
- Kindle voor pc 1.x
- Adobe Acrobat Reader DC 15.x
- uTorrent 3.x
- iCloud voor Windows 6.x
Deze lijst zal je misschien verrassen. Hoewel Java niet het meest risicovolle programma is, is het nog steeds het tweede. Andere programma's die we doorgaans niet associëren met beveiligingsrisico's, zoals VLC en Malwarebytes, hebben ook een plekje. Dit illustreert het belang van het up-to-date houden van al uw software, niet alleen de populaire.
We kunnen meer zien door te onderzoeken Avast's beveiligingsrapport voor het derde kwartaal van 2017. Het bevat de top 10 van meest verouderde programma's op de pc's van gebruikers:
- Java 6, 7 en 8
- Adobe AIR
- Adobe Shockwave
- VLC Media Speler
- iTunes
- Firefox
- 7-Zip
- WinRAR
- Snelle tijd
- Adobe Flash Player
Wanneer u de oudere versies opneemt, lijkt het erop dat Java nog steeds de minst bijgewerkte software overtreft. De plug-ins van Adobe zijn ook grote boosdoeners, en we zien dat iTunes en VLC deze lijst ook hebben gemaakt.
Omgekeerd, volgens TechRadar, Komt Chrome bovenaan voor bijgewerkte apps. Bij ondervraging had 88% van de gebruikers van Chrome de nieuwste versie geïnstalleerd. Dit laat zien hoe stille automatische updates een enorm verschil maken in vergelijking met de zeurende update-prompts die worden gebruikt door Java- en Adobe-runtimes.
Vergeet ook geen OS-updates
Een ander essentieel onderdeel van de update om te onthouden zijn OS-updates. Onthoud dat gebruikers die automatische updates hadden geïnstalleerd, werden gespaard de verschrikkelijke ransomware-aanval midden 2017 De wereldwijde aanval met ransomware en hoe u uw gegevens kunt beschermenComputers hebben overal ter wereld een enorme cyberaanval getroffen. Bent u getroffen door de zeer virulente zelfreplicerende ransomware? Zo niet, hoe kunt u uw gegevens beschermen zonder losgeld te betalen? Lees verder . Zelfs als u software zoals Java up-to-date houdt, loopt uw computer nog steeds risico als u geen Windows-updates installeert.
Windows 10 maakt deze automatische updates eenvoudig Voors en tegens van gedwongen updates in Windows 10Updates veranderen in Windows 10. Op dit moment kunt u kiezen en kiezen. Windows 10 zal u echter updates opdringen. Het heeft voordelen, zoals verbeterde beveiliging, maar het kan ook misgaan. Bovendien... Lees verder , maar die op Windows 7 hebben ze mogelijk uitgeschakeld. En degenen die Windows XP bijna vier jaar na het einde van hun levensduur nog steeds gebruiken, lopen een groot risico.
Hoe gevaarlijk is Java eigenlijk?
Alles bij elkaar genomen, kunnen we nog steeds zeggen dat Java het grootste beveiligingsrisico is voor desktops? Niet echt. Aan de negatieve kant blijven mensen nog steeds verouderde versies van Java gebruiken, hoewel ze het echt niet nodig hebben. Dit stelt hen open voor kwetsbaarheden in de beveiliging. Aangezien de meeste browsers Java echter niet meer ondersteunen, staan ze niet meer open voor aanvallen zoals ze ooit waren.
De zwakke schakel in de beveiliging van uw computer komt van het populairste stuk software dat u niet up-to-date houdt. Als je de nieuwste versie van Java hebt, maar nog steeds niet verwijderde de niet-ondersteunde QuickTime voor Windows, dat is een groot risico. Als u een verouderde versie van Flash, Adobe Reader of iTunes heeft, kunt u ook worden aangevallen.
huidige stemming: 18 maanden lang een software-update weigeren en nu is de tool om te downloaden verouderd
- motten (@ 13_motten) 12 februari 2018
Uit de bovenstaande gegevens kunnen we opmaken dat programma's zonder automatische updates doorgaans het minst veilig zijn. ITunes vraagt gebruikers bijvoorbeeld constant om te updaten, wat vervelend is. Dit leidt ertoe dat mensen de updates negeren en een onveilige versie geïnstalleerd laten.
Hoe zit het met Mac en Linux?
We hebben ons hierboven op Java voor Windows gericht, maar het is de moeite waard om snel te vermelden hoe dit ook Mac- en Linux-gebruikers beïnvloedt.
Verrassend genoeg ondersteunt Apple, hoewel Apple plug-ins niet standaard in Safari laat werken, nog steeds de oude plug-ins zoals Java en Silverlight. Hoewel je Java op je Mac moet verwijderen, tenzij je het om een specifieke reden nodig hebt, heeft Java niet zoveel problemen veroorzaakt voor Mac-gebruikers als op Windows. De laatste tijd zijn de meeste beveiligingslekken in macOS geweest dankzij onoplettendheid van Apple zelf.
Ik moet NetBeans ergens voor installeren. De Mac-versie wordt geleverd als een installatiepakket (!), Wat een rode vlag was. Maar toen wilde het dat ik Java installeerde ...
Nee. Nee nee nee. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.
- Cyberpunk 2077 Sucks (@_nulldragon) 8 februari 2018
Linux heeft ook geen unieke Java-kwetsbaarheden gezien. Als je een browser nodig hebt die Java op Linux ondersteunt, kun je het proberen ESR-versie (Extended Support Release) van Firefox. Firefox biedt deze versie voor zakelijke omgevingen; het biedt de nieuwste beveiligingsupdates, maar wacht langer met het uitrollen van functie-updates. De huidige versie, 52, ondersteunt Java en andere verouderde plug-ins zullen tot ergens in het tweede kwartaal van 2018 beschikbaar zijn.
Een toekomst zonder plug-ins
Het goede nieuws is dat je de meeste hiervan niet nodig hebt potentieel gevaarlijke en vervelende plug-ins Denk je dat Flash de enige onveilige plug-in is? Denk nog eens naFlash is niet de enige browserplug-in die een risico vormt voor uw online privacy en veiligheid. Hier zijn nog drie plug-ins die u waarschijnlijk in uw browser hebt geïnstalleerd, maar die u vandaag zou moeten verwijderen. Lees verder meer geïnstalleerd. Er zijn maar heel weinig websites die Java gebruiken, en het belangrijkste programma waarvoor mensen Java geïnstalleerd hielden — Minecraft—bevat nu een veilig gebundelde versie van Java Hoe de volledige versie van Minecraft op een Linux-pc te installerenMinecraft is een van de grootste games ter wereld en draait op vrijwel elk platform. Wilt u het op uw Linux-computer laten draaien? We laten je zien hoe. Lees verder . Andere plug-ins zijn ook niet nodig. Microsoft heeft Silverlight jaren geleden beëindigd en het zou moeilijk zijn om een site met Shockwave-inhoud te vinden.
Flash is de enige uitzondering Die Flash Die: de voortdurende geschiedenis van technologiebedrijven die Flash proberen te dodenFlash is al lang in verval, maar wanneer gaat het dood? Lees verder . De meeste browsers ondersteunen het nog steeds vanwege de populariteit, maar Adobe zal het in 2020 doden. Zorg er tot die tijd voor dat u Flash op uw pc bijwerkt. Chrome doet dit automatisch, dus je hebt het misschien niet eens meer geïnstalleerd (wat geweldig is).
Kortom: Java is nog steeds onveilig, maar vormt minder risico omdat browsers het uitschakelen. U moet programma's verwijderen die u niet nodig heeft (inclusief oude plug-ins), de software op uw computer up-to-date houden en OS-updates toepassen. Als je dit doet, heb je het goed.
Beeldcredits: avemario /Depositphotos
Ben is adjunct-redacteur en de gesponsorde postmanager bij MakeUseOf. Hij heeft een B.S. in computerinformatiesystemen van Grove City College, waar hij cum laude afstudeerde en cum laude afstudeerde. Hij helpt graag anderen en is gepassioneerd door videogames als medium.