Klanten van het zogenaamde UZI-register hebben een e-mail ontvangen met het verzoek om geen updates uit te voeren op hun webbrowsers. In de e-mail staat dat webbrowsers vanaf oktober 2016 de benodigde Java- en ActiveX-onderdelen niet meer ondersteunen.

 

Het UZI-register geeft certificaten uit waarmee zorgaanbieders zich kunnen identificeren. Hiervoor wordt de zogenaamde UZI-pas gebruikt, dat is een smartcard waarop digitale sleutels worden bewaard. Het register is onderdeel van het CIBG, dat is op zijn beurt weer een uitvoeringsorganisatie is van het Ministerie van Volksgezondheid, Welzijn en Sport.

De Java- en ActiveX-plug-ins worden onder andere gebruikt voor het identificeren van zorgverleners aan de hand van de smartcard. Hoeveel mensen gebruikmaken van de plug-ins is onbekend, zegt Vera Wagenaar, communicatieadviseur van het CIBG, tegen Tweakers. Ze verwacht dat het probleem rond november is opgelost. De e-mail is volgens haar rondgestuurd om de klanten te waarschuwen dat ze niet in staat zullen zijn om de applicatie te gebruiken als zij hun browser updaten.

In de e-mail wordt aangeraden om automatische updates uit te zetten. "De UZI-pas(lezer) maakt in veel gevallen gebruik van bepaalde webbrowser-onderdelen voor identificatie, authenticatie en het plaatsen van digitale handtekeningen op medisch gerelateerde documenten. Deze onderdelen, zoals Java en ActiveX, gaan vanaf oktober 2016 verdwijnen." Verderop in de mail staat: "Het is belangrijk dat er geen automatische updates meer plaatsvinden aan uw huidige webbrowser. Installeer ook geen nieuwe browsers."

Vermoedelijk wordt er in de e-mail gerefereerd aan het feit dat Java met versie 9 een einde maakt aan de ondersteuning van de web-plug-in. De Java-plug-in heeft geen feilloze reputatie op het gebied van veiligheid en is vaak slachtoffer van zero-day-kwetsbaarheden geweest. Java 9 was origineel voor september 2016 gepland, maar is later uitgesteld naar maart 2017.

ActiveX is een software-framework dat inmiddels 20 jaar bestaat en door steeds meer instanties wordt uitgefaseerd. Ondersteuning door andere browsers dan Internet Explorer is nauwelijks van de grond gekomen en zelfs in Microsofts eigen nieuwe browser, Edge, is de functionaliteit niet toegevoegd. Het framework is in het verleden al meerdere keren in het nieuws gekomen vanwege veiligheidslekken.

Reacties mogelijk gemaakt door CComment