Hackere udnytter gamle Java-sikkerhedshuller i årevis

med vores undersøgelse baseret på aktive exploitkits:
http://www.csis.dk/da/csis/news/3321/

Javas opdateringsfunktion er ringe. Jeg ser den flere steder fejle og jeg kan forstille mig at grunden er, at den ikke er kompatibelt med UAC.

1) Java Update kører i baggrunden.
2) Der kommer en opdatering.
3) Java Update beder om administrator rettigheder via UAC. Det giver man.
4) Java Update stopper med fejl om, at den ikke kan finde en eller anden fil.

Min tanke er, at skiftet fra den almindelige bruger til administratorbrugeren, laver om på nogle miljøvariabler, som Java Update først bruger til, at downloade opdateringen og når UAC er kørt, så er disse variabler ændret og nu kan Java Update ikke finde opdateringen.

Om det forholder sig sådan ved jeg ikke, da jeg ikke har set nærmere på det. Min løsning på de tre computere jeg ser problemet, er at hente opdateringen manuelt via java.com. "Normale" brugere tænker muligvis ikke på, at gøre det manuelt og så er de sårbare.

Jeg må sige jeg har samme oplevelse, altså at Java update fejler og bliver til en irritation. Den siger der er en opdatering, men fejler når man prøver at hente den. Gid dog at windows have noget apt lign., selvom det ikke vil løse rettighedsproblemerne, vil det løse at alle mulige forskellige programmer har hver deres måde at opdatere på...

Det pudsige er at Tim Rains (fra Microsoft) blogger om det i stedet for at Microsoft løste problemet. Men det er der jo ingen penge i for Microsoft.

Du ønsker, at Microsoft skal automatisk opdatere folks Java installationer evt. via Windows/Microsoft Update?

Tror et blogindlæg er hurtigere at skrive. :-)

Der er vel heller ingen penge for MS i at de skriver et blogindlæg.

Findes også ved Middelfart kommune, hvor det er sådan at kursist-computere på Job og kompetencecenteret ikke bliver opdateret med nye versioner af Java, Adobe Acrobat Reader, og Windows Defender.

Sikkerhed? absolut ingen: Alle kører tilsyneladende med Administrator rettigheder på Windows 7 med UAC slået permanent fra som standard, ligesom at Internet Explorer på computeren som standard er indstillet til at indsamle blandt andet brugernavn og kodeord.
Det er derfor absolut nødvendigt at køre Sikkerhed > Slet browserdata før computeren forlades.

Jeg advarer jævnligt andre nye kursister om Internet Explorers indsamling af brugernavn og kodeord.

Jeg bemærker lige at det er spild af tid at man manuelt opdaterer Java, og Adobe Acrobat Reader, samt Windows Defender, da computeren reinstalleres med tilhørende software automatisk hver nat til alle forrige usikre versioner af standard softwaren.

Sikkerhed er som sædvanlig en by i Rusland, så længe det kun er er borgerne, og ikke kommunen selv, det går ud over.

I stedet for at brokke sig over Java burde man måske brokke sig over de utallige løsninger som kræver en forældet Java.... meget ofte er det bankprogrammer. Det forhindrer ret effektivt automatisk opdatering af Java.