Waarom is Java toch zo gevaarlijk?

By | maart 26, 2013

In 2009 is Java van Sun Microsystems overgenomen door oracle, en volgens vele experts is Java momenteel de zwakste schakel als het gaat om de beveiligingsketen van zowel Macs als Windows pc’s. Veelal wordt Oracle verweten te laat met patches en updates te komen die bekende en gevaarlijke lekken dient te dichten, die vervolgens nog steeds kwetsbaarheden bevatten. Toch is het natuurlijk niet helemaal terecht dat alleen Oracle de zwarte piet toegespeeld krijgt. De verzachtende omstandigheid is namelijk een feit dat browser plugins en Java afgelopen tijd steeds vaker doelwit zijn geworden van cybercriminelen.

Java is vergeleken met bijvoorbeeld Flash en Reader van Adobe relatief onveilig en dat heeft onder andere te maken met de beperkte investeringen die Oracle in Java steekt. Uit onderzoek van Secunia blijkt dat bij de publicatie van securitymededelingen over zero-day lekken op de site van Oracle, slechts in drie van de vijf gevallen dezelfde dag een patch beschikbaar is. En zelfs al is er een patch, dan nog zijn er veel bedrijven die geen haast maken met een update omdat ze eerst zeker willen weten dat de nieuwe versie van de Java-client compatibel is met hun IT-omgeving. Op de Mac is de situatie nog erger, want daar is Apple zelf verantwoordelijk voor de Java-updates, dit betekent dat deze in een nog later stadium beschikbaar komen voor de eindgebruikers en pas nog later geïnstalleerd kunnen worden.

Waarom is Java toch zo gevaarlijk?

Het is dan eigenlijk ook helemaal niet verwonderlijk dat Java het favoriete doelwit van cybercriminelen is geworden, de meeste gebruikers gebruiken namelijk nog steevast een onveilige versie van Java. Uit eerdere onderzoeken is al bekend geworden dat Java-gebruikers erg traag zijn met het installeren van updates, maar de laatste onderzoeken laten een nog schokkender beeld zien.
Namelijk 94% van de Java-gebruikers mist gewoonweg de laatste beveiligingsupdates van Java, waardoor deze systemen erg kwetsbaar zijn voor onder andere malwareinfecties.

Uit onderzoek van Websense is gebleken dat meer dan de helft van de browsers met de Java plug-in zelfs twee jaar achter loopt met beveiligingsupdates. Dit onderzoek is gebaseerd op miljoenen computers die geanalyseerd zijn. Inmiddels is er bijvoorbeeld de Cool exploit-kit die lekken in Java 7 Update 15 en Java 6 Update 41 misbruikt.

Hieronder ziet u een cirkeldiagram van het onderzoek van Websense.

Java statistieken

Java statistieken

Een ander bekend Java-lek is ‘CVE-2012-0507‘, aanwezig in Java 7 Update 2 en Java 6 Update 30. Dit lek werd eerder in februari 2012 door Oracle gepatcht. Toch blijkt dat 59,5% van de Java-gebruikers deze update niet heeft geïnstalleerd en loopt hiermee dus een groot risico om geïnfecteerd te kunnen raken. verder blijkt dat 75% van de gebruikers een Java-versie gebruikte die minstens 6 maanden oud is. Bijna twee derde loopt echter een jaar achter en meer dan de helft van de gebruikers loopt zelfs twee jaar achter.
Verder is er uit het onderzoek gebleken dat 21% van de gebruikers zelfs nog steeds Java 6 gebruikt, een versie die niet eens meer door Oracle met beveiligingsupdates wordt ondersteund. Het is dus niet verwonderlijk dat er zoveel malwareinfecties kunnen plaatsvinden.

Heeft u vragen over dit artikel of wilt u advies omtrent het gebruik van Java dan kunt u terecht op het forum van PC Web Plus voor hulp en ondersteuning.
Gratis hulp & ondersteuning bij computervragen en problemen

Zoekopdrachten:

  • java gevaarlijk
  • java verwijderen risico