Update Java, Java6 update 24 uit.
maandag, februari 21st, 2011Oracle heeft een nieuwe versie van Java uitgebracht.
Update 24 patch een heleboel lekken waaronder nogal wat gevaarlijke lekken in java. release notes
Als je java geïnstalleerd hebt is het verwijderen van de oude en installeren van de nieuwste versie zeker aanbevolen.
Het patch beleid van Java faalt nogal bij de gebruikers, er zijn nog veel computers die oude lekke versie van java gebruiken en de plugin in hun webbrowser gebruiken.
Zeker omdat java ook in de webbrowser kan werken, is het erg gevaarlijk zaak niet up to date te blijven. Omdat het bezoeken van een kwaadaardige website voldoende is malware te installeren. Java werkt zowel onder windows, mac en linux dus het is ook nog eens geschikt om malware te maken dat op elk besturingssysteem werkt waar een Java virtual machine voor is. Java is een ware zege geworden voor malware schrijven. Ik zie steeds meer java bots deze webserver aanvallen/afscannen sinds 2010. Niet voor niets dat ik alle user-agents met Java erin op deze webserver blokkeer want meestal zijn het infecteerde machines. De makers van Java zijn het ook wel een beetje zelf schuld. Zo is de website waar de nieuwste versie van java aangeboden wordt, over het algemeen eng voor gebruikers qua uiterlijk. Het oude patch beleide van dat je oude java versie eerst moest verwijderen maakt het update van java een moeilijke taak. Gelukkig is het patch beleid van java wel vorig jaar gewijzigd en wordt het verwijderen van oude versie nu gedaan bij installatie van een nieuw versie. Maar de echte oude versie’s bijvoorbeeld een installatie van Java5.0 die blijft nog kwetsbaar achter op het systeem. Verder mag ook gezegd worden dat het patchen van grote beveiligingsproblemen niet snel is. De tijd dat een zero day exploit voor java werkt, is helaas nog best lang. Dit heeft er ook wel mee te maken dat java updates vrij groot zijn. En dit komt doordat ze geen kleine increment patchen toepassen, zoals we dat van windows-, firefox-, google updates gewend zijn maar altijd voor volledig overschrijven gaan.
Opmerking over de versie nummers van java: na versie 1.4 geeft men besloten de minor versie nummer als major nummer te gebruiken 1.5 werdt dus 5.0 enz. intern gebruikt java nog steeds het major versie nummer 1, dus 6.0 wordt wel eens aangegeven als 1.6.0.