Uitgavegeschiedenis Java

Hieronder vindt u beschrijvingen van de wijzigingen en vernieuwingen in de opeenvolgende versies van Java.

Java 7 update 40

Het is een drukke dag wat betreft updates. Behalve Microsoft (met zijn maandelijkse pleister-dinsdag) en Adobe (nieuwe versies van Flash en Adobe Reader) heeft software-producent Oracle gisteren een grote update voor Java uitgebracht.

Java 7 update 40 is een bijzondere uitgave: voor het eerst in tijden worden er geen beveiligingslekken gedicht in een nieuwe Java-versie! Wel wordt de beveiliging in Java verder aangescherpt door nieuwe waarschuwingsdialogen bij niet gesigneerde Java-applets.

Ook is de weergave van Java-inhoud op Retina-schermen van MacBooks nu niet meer wazig. Ten slotte worden enkele honderden fouten opgelost. Voor de liefhebbers is hier een lijst met alle gerepareerde problemen in Java 7 update 40 te vinden.
 
Mensen die Java 6 op hun pc hebben staan wordt dringend aangeraden om te upgraden naar Java 7. Java 6 is end of life en zal geen updates meer krijgen! De laatste update was Java 6 update 45.

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Noot: Oracle heeft de nummering van Java omgegooid, waardoor Java 7 update 40 direct volgt op Java 7 update 25.
Tussenliggende versienummers zijn dus niet uitgebracht.

Java 7 update 25

Het gisteren verschenen Java 7 update 25 is een grote beveiligingsupdate die 40 ernstige lekken repareert. De meeste kunnen op afstand, en zonder authenticatie, worden uitgebuit door internet criminelen.

Ook worden verder enkele andere verbeteringen en vernieuwingen in deze Java-versie doorgevoerd, waarvan veel beveiligingsgerelateerd zijn. Zo worden certificaten beter gecheckt en worden sommige applets sneller geblokkeerd. Ook het permissiesniveau voor Java applets op websites is strenger geworden. Ondanks de vele lekken en beveiligingsproblemen doet producent Oracle de laatste tijd zijn best om de veiligheid van Java te verbeteren. Of deze inspanning niet te laat en te weinig is zal moeten blijken.

Producent Oracle raadt aan om de beveiligingsupdate zo snel mogelijk te installeren vanwege de hoeveelheid en de ernst van de lekken (een betere optie is misschien nog wel om Java geheel van je pc te verwijderen of uit te schakelen in je browsers - aangezien steeds minder websites van Java gebruikmaken).
 
Mensen die Java 6 op hun pc hebben staan wordt dringend aangeraden om te upgraden naar Java 7. Java 6 is end of life en zal geen updates meer krijgen! De laatste update was Java 6 update 45.

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het dus aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Noot: Oracle heeft de nummering van Java omgegooid (om meer ruimte te creëren voor tussentijdse noodupdates...), waardoor Java 7 update 25 direct volgt op Java 7 update 21.
Tussenliggende versienummers zijn dus niet uitgebracht.

Uitgave opmerkingen:

This Critical Patch Update contains 40 new security fixes for Oracle Java SE.  37 of these vulnerabilities may be remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.  The English text form of this Risk Matrix can be found here.

This update release contains several enhancements and changes including the following:

On line Certificate Revocation Checking
New JAR Manifest File Attributes
Best Practices for Applet & Web Start Deployment
LiveConnect Blocked under Some Conditions
New property for Secure Validation of XML
Java API Documentation Updater Tool
Help for Security Dialogs
Changes to Runtime.exec

Java 7 update 21

Java 7 update 21 - die vanavond is uitgebracht door producent Oracle - mag met recht een monsterupdate worden genoemd. Maar liefst 42 lekken worden dichtgeplakt in deze versie van Java. 39 hiervan kunnen op afstand, en zonder authenticatie, worden uitgebuit door internet criminelen. Ook de vier lekken die op hacker-wedstrijd Pwn2Own werden ontdekt zijn gerepareerd.

Producent Oracle raadt aan om de beveiligingsupdate zo snel mogelijk te installeren vanwege de hoeveelheid en de ernst van de lekken (een betere optie is misschien nog wel om Java geheel van je pc te verwijderen of uit te schakelen in je browsers - aangezien steeds minder websites van Java gebruikmaken).
 
Mensen die Java 6 op hun pc hebben staan kunnen nog updaten naar Java 6 update 45. Eerder had Oracle aangekondigd dat Java 6 update 43 de laatste uitgave van de 6-serie was - en dat gebruikers moesten upgraden naar versie 7 - maar door het enorme aantal lekken is waarschijnlijk besloten om toch nog één beveiligingsupdate voor Java 6 vrij te geven. Bij de volgende update zullen we zien of dit echt de laatste was...

Behalve 42 pleisters voor beveiligingslekken bevat Java 7 update 21 nog enkele andere wijzigingen. Een aantal daarvan is ook gerelateerd aan de veiligheid van Java. Zo kun je in het Control Panel van Java de beveiligingsinstellingen 'laag' en 'aangepast' niet meer selecteren. Ook krijg je eerder waarschuwingsvensters te zien als je websites met Rich Internet Applications bezoekt.

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het dus aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Uitgave opmerkingen:
This Critical Patch Update is a collection of patches for multiple security vulnerabilities in Oracle Java SE. This Critical Patch Update contains 42 new security vulnerability fixes. Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply Critical Patch Update fixes as soon as possible.

This update release contains several enhancements and changes including the following:

Blacklisted Jars and Certificates
Changes to Java Control Panel's Security Settings
Changes to Security Dialogs
Changes to RMI

Server JRE
JDK for Linux on ARM
Changes to Runtime.exec

Java 7 update 17

Vanavond is Java 7 update 17 uitgebracht door producent Oracle. Dit is de derde beveiligingsupdate voor Java in een maand tijd. In deze versie van de browser-plugin worden het vrijdag ontdekte zero-day lek en nog een ander kritiek lek in Java dichtgeplakt.

Oracle heeft deze keer snel gereageerd en binnen enkele dagen de al door internet criminelen misbruikte kwetsbaarheid gerepareerd. Het bezoeken van schadelijke websites - met de Java-plugin ingeschakeld in je browser - kon al voldoende zijn om besmet te raken met malware. Door de update naar Java 7 update 17 is deze aanval echter de pas afgesneden (of Java 6 update 43, wat de laatste update voor versie 6 van Java is: hierna zul je moeten upgraden naar Java 7 - wil je nog beveiligingsupdates krijgen).

Java 7 update 17 is een belangrijke update die je snel moet installeren als je je pc zo veilig mogelijk wilt houden (een betere optie is misschien nog wel om Java geheel van je pc te verwijderen of uit te schakelen in je browsers - aangezien steeds minder websites van Java gebruikmaken).

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het dus aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Uitgave opmerkingen:

This Security Alert addresses security issues CVE-2013-1493 (US-CERT VU#688246) and another vulnerability affecting Java running in web browsers. These vulnerabilities are not applicable to Java running on servers, standalone Java desktop applications or embedded Java applications. They also do not affect Oracle server-based software.

These vulnerabilities may be remotely exploitable without authentication, i.e., they may be exploited over a network without the need for a username and password. For an exploit to be successful, an unsuspecting user running an affected release in a browser must visit a malicious web page that leverages these vulnerabilities. Successful exploits can impact the availability, integrity, and confidentiality of the user's system.

Due to the severity of these vulnerabilities, and the reported exploitation of CVE-2013-1493 "in the wild," Oracle strongly recommends that customers apply the updates provided by this Security Alert as soon as possible.

Java 7 update 15

Producent Oracle heeft gisteren Java 7 update 15 vrijgegeven. Dit is een aanvulling op de beveiligingsupdate die begin februari werd uitgebracht. Toen werden vijftig lekken dichtgeplakt, nu nog eens vijf kwetsbaarheden.

Oorspronkelijk stond de driemaandelijkse beveiligingsupdate voor Java ook voor gisteren gepland, maar door allerlei zero-day lekken had Oracle de publicatie vervroegd. Nu is dus, met deze aanvulling, in twee keer de hele update binnengekomen.

Oracle had begin deze maand bekend gemaakt dat het zich meer zou gaan inzetten om Java veilig te houden. Het afgelopen jaar werd de plugin geteisterd door zero-day beveiligingslekken die al door internet criminelen misbruikt werden.

Java 7 update 15 is een belangrijke update die je snel moet installeren als je je pc zo veilig mogelijk wilt houden (een betere optie is nog om Java te verwijderen of uit te schakelen in je browsers).

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het dus aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Uitgave opmerkingen:
Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply CPU fixes as soon as possible. This updated Critical Patch Update contains 5 additional security fixes across Java SE products.

Java 7 update 13

Java 7 update 13 is wederom een tussentijdse noodupdate om kritieke lekken dicht te plakken. Verschillende beveiligingsonderzoekers hadden nieuwe kwetsbaarheden in Java ontdekt, die naar verluidt ook al uitgebuit werden. Producent Oracle heeft daarom deze beveiligingsupdate, die eigenlijk gepland stond voor 19 februari, twee weken vervroegd.

Oracle had afgelopen week al bekend gemaakt dat het zich meer zou gaan inzetten om Java veilig te houden. Het afgelopen jaar werd de plugin geteisterd door zero-day beveiligingslekken die al door internet criminelen misbruikt werden.

Java 7 update 13 is een zogeheten Critical Patch Update (CPU) die 50 lekken dichtplakt. Een belangrijke update die je snel moet installeren als je je pc zo veilig mogelijk wilt houden (een betere optie is nog om Java te verwijderen of uit te schakelen in je browsers).

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het dus aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Uitgave opmerkingen:
Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply CPU fixes as soon as possible. This Critical Patch Update contains 50 new security fixes across Java SE products.

Java 7 update 11

Java 7 update 11 is een tussentijdse noodupdate om het vorige week ontdekte kritieke zero-day lek in Java dicht te plakken. Het lek werd al actief misbruikt door internet criminelen en deze keer heeft Oracle haast gemaakt met het uitbrengen van een pleister voor Java.

Naast het zero day lek is ook een andere kwetsbaarheid verholpen, stelt Oracle in de uitgave opmerkingen. Verder is het beveiligingsniveau van Java nu standaard op 'hoog' ingesteld, waardoor altijd gewaarschuwd wordt als onbekende, niet gesigneerde Java applets op een website willen starten. Deze aanscherping van de beveiliging moet voorkomen dat onveilige applets zomaar automatisch afgespeeld worden. Gebruikers moeten nu zelf klikken om Java onderdelen op een website te activeren. Dit zou drive-by downloads moeten voorkomen die vorig jaar voor veel virusbesmettingen op pc's en Macs met Java hebben gezorgd.

Java 6 schijnt niet getroffen te zijn door de kritieke kwetsbaarheid en heeft dus geen update gekregen. Mensen die de Java-plugin in hun browser uitgeschakeld hebben kunnen hier lezen hoe ze Java weer kunnen aanzetten (het omgekeerde van de instructies doen). Als ze dat nog aandurven tenminste, want veel beveiligingsonderzoekers adviseren tegenwoordig om Java van je pc te verwijderen.

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het dus aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Uitgave opmerkingen:

This Security Alert addresses security issues CVE-2013-0422 (US-CERT Alert TA13-010A - Oracle Java 7 Security Manager Bypass Vulnerability) and another vulnerability affecting Java running in web browsers. These vulnerabilities are not applicable to Java running on servers, standalone Java desktop applications or embedded Java applications. They also do not affect Oracle server-based software.

The fixes in this Alert include a change to the default Java Security Level setting from "Medium" to "High". With the "High" setting, the user is always prompted before any unsigned Java applet or Java Web Start application is run.

These vulnerabilities may be remotely exploitable without authentication, i.e., they may be exploited over a network without the need for a username and password. To be successfully exploited, an unsuspecting user running an affected release in a browser will need to visit a malicious web page that leverages these vulnerabilities. Successful exploits can impact the availability, integrity, and confidentiality of the user's system.

Due to the severity of these vulnerabilities, the public disclosure of technical details and the reported exploitation of CVE-2013-0422 "in the wild," Oracle strongly recommends that customers apply the updates provided by this Security Alert as soon as possible.

Java 7 update 10

Java 7 update 10 is eens een keer geen beveiligingsupdate voor de browser-plugin. Er worden geen lekken gedicht in Java, maar de beveiliging wordt wel aangescherpt.

Zo kun je nu in het Java control panel (configuratiescherm) de plugin uitschakelen in je browser als je dat wilt. Ook kun je hier beveiligingsniveaus instellen voor ongesigneerde - en dus misschien niet te vertrouwen - Java applets. Ook geeft Java nu waarschuwingen als je Java-installatie verouderd en niet meer veilig is. Ten slotte worden enkele tientallen fouten gerepareerd.

Ondanks dat er geen beveiligingslekken verholpen worden toch een aanbevolen update voor Java, vanwege de extra beveiligingsmaatregelen. Mensen die nog het oudere Java 6 gebruiken moeten updaten naar Java 6 update 38.

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het dus aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Uitgave opmerkingen:

  • The ability to disable any Java application from running in the browser. This mode can be set in the Java Control Panel or (on Microsoft Windows platform only) using a command-line install argument.
  • The ability to select the desired level of security for unsigned applets, Java Web Start applications, and embedded JavaFX applications that run in a browser. Four levels of security are supported. This feature can be set in the Java Control Panel or (on Microsoft Windows platform only) using a command-line install argument.
  • New dialogs to warn you when the JRE is insecure (either expired or below the security baseline) and needs to be updated.

Java 7 update 9


Java 7 update 9 is wederom een beveiligingsupdate voor de Java Runtime Environment (JRE) en browser-plugin, waarin maar liefst dertig lekken gedicht worden. 29 hiervan zijn kritieke lekken die op afstand zonder authenticatie (gebruikersnaam/wachtwoord) uit te buiten zijn.

Veel lekken die nu gerepareerd zijn werden al in april aan Oracle gemeld door Poolse beveiligingsonderzoekers. Één ernstig lek is echter niet meegenomen in deze update en wordt pas in februari verholpen, volgens Security.nl. Oracle brengt maar een keer per kwartaal beveiligingsupdates uit en dit lek kon niet op tijd worden dichtgeplakt. Het wachten is dus wellicht op een nieuwe tussentijdse noodupdate voor Java...

 Het beste advies blijft dus - vanwege alle lekken - waarschijnlijk om Java uit te schakelen in je browser, of geheel van je pc te verwijderen, als je Java niet echt nodig hebt. En als je Java toch blijft gebruiken, moet je heel snel deze update binnenhalen.

Mensen die nog het oudere Java 6 gebruiken moeten updaten naar Java 6 update 37, dat ook deze ernstige beveiligingslekken repareert.
 

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het dus aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Java 7 update 7

Producent Oracle heeft dan toch een noodupdate uitgebracht voor het zeer ernstige zero-day lek in Java dat de laatste dagen op grote schaal misbruikt werd om bankgegevens te stelen van mensen die besmette websites bezochten.

Java 7 update nummer 7 dicht drie kritieke lekken, waaronder de kwetsbaarheid die voor veel geïnfecteerde systemen zorgde. Mensen die nog het oudere Java 6 gebruiken moeten updaten naar Java 6 update 35, dat ook deze ernstige beveiligingslekken repareert. Gezien de ernst van het lek wordt dringen aangeraden deze updates direct te installeren, als je Java nog op je pc hebt staan.

Ook zou het nu weer veilig moeten zijn om de Java-plugin in je browser weer aan te zetten. Als je Java tenminste nodig hebt, want steeds minder websites maken gebruik van Java-functionaliteit. En totdat weer nieuwe lekken ontdekt worden, want Java staat bekend als een gatenkaas die graag door internet criminelen misbruikt wordt.

Zo blijken de lekken die nu gerepareerd zijn al in april aan Oracle gemeld te zijn door Poolse beveiligingsonderzoekers. En deze stellen nu dat er toen nog veel meer lekken in Java ontdekt zijn die met deze update nog niet verholpen zijn. De onderzoekers hebben de precieze aard van deze nieuwe kwetsbaarheden nog niet openbaar gemaakt, zodat Oracle de tijd heeft om weer een beveiligingsupdate voor te bereiden. 

Het beste advies blijft dus waarschijnlijk om
Java uit te schakelen in je browser, of geheel van je pc te verwijderen, als je Java niet echt nodig hebt.

Je kunt Java in Windows updaten via de automatische updater die zich in de systeembalk nestelt. Als er een meldingvenster komt voor een update van Java is het dus aan te bevelen deze direct te installeren. Ook kun je Java opnieuw downloaden. Java is verkrijgbaar voor browsers in Windows, Mac OS X en Linux.

Je kunt hier controleren welke versie van Java op je pc staat
(klik op Java-versie controleren)

Pagina's