Sikkerhedsfirma: Oracle kunne have lukket kritisk hul i oktober 2012

It-sikkerhedsfirmaet Security Explorations kritiserer Oracle for sjusk i aktuel sag om Java-hul. Selskabet kunne have lukket hullet i oktober.

Oracle forpassede sidste år chancen for at lukke den kritiske sårbarhed i Java 7, som i sidste uge fik sikkerhedsfolk herhjemme til at slå alarm over for de danske NemID-brugere.

Læs også: Alarm: 4 millioner NemID-brugere truet af kritisk Java-hul

Sådan lyder kritikken af it-giganten fra det polske it-sikkerhedsfirma Security Explorations.

Ifølge it-mediet The Next Web fortalte Security Explorations allerede i august Oracle om en anden sårbarhed, der skyldtes en usikker implementering af Reflection API'et i Java.

Hvis Oracle havde rettet den, ville den aktuelle 0-dagssårbarhed ikke kunne være udnyttet af it-kriminelle. Men rettelsen til den usikre implementering var ikke grundig nok.

»Firmaet frigav et fix til Issue 32 (sårbarheden, red.) i oktober 2012. Men det viser sig, at fixet ikke var færdigt,« forklarer sikkerhedsfirmaet Security Explorations på en mailingliste, skriver The Next Web.

Sårbarheden, der blev omtalt i sidste uge, kan misbruges i drive by-angreb, hvor it-kriminelle overtager kontrollen med offerets pc, når denne besøger en inficeret hjemmeside fra en sårbar computer.

»Det her er ikke første gang, at Oracles egne undersøgelser og analyser af sikkerhedsproblemer viser sig at være utilstrækkelige,« skriver firmaet ifølge The Next Web.

Oracle udsendte søndag en opdatering til Java 7, som lukker hullet.

Læs også: Her er lappen til kritisk Java-hul – sådan gør du

Følg forløbet

Kommentarer (5)

Benni Bennetsen

Sådan som jeg kan læse det, så er hullet jo fortsat ikke lukket, man har blot lavet lappe løsning med at hæve sikkerhedsniveauet som standard for at køre, men selve exploit virker fortsat. Det er jo lidt kritisk, særligt når bankerne skriver, at hullet nu er rettet, selvom det jo ikke passer.

Hans Schou

Vi der havde en ECMA-script baseret løsning med Jyske Bank før NemID-monsteret dukkede op, vil godt tilbage til den løsning. Den havde flere fordele.

  1. ECMA-script-fortolkeren i de forskellige browsere er forskellig. Det betyder at der skal testes lidt mere fra leverandørens side, men hvis det viser sig at en browser har et problem, så kan slutbrugeren vælge at skifte broser. Det kan man ikke med Java, der er kun er een JRE der virker med NemID, og det er den sidste nye fra Oracle.

  2. ECMA-script kan ikke scanne brugerens harddisk for filer, sådan som NemID kan og gør. Helt præcist hvad NemID leder efter på borgernes harddisk er ikke helt kendt, men NemID har muligheden for at gennemse alle borgerens filer på hans egen harddisk <1>.

  3. ECMA-script har færre muligheder for bagdøre, og er på den måde mere tillidsskabende for borgerne, end Java er.

  4. ECMA-script kan ikke åbne en IP-forbindelse til en anden server, end den server den kommer fra. Det kan Java og det introducere et nyt problem.

Skattevæsnet har både NemID-login og deres egen "Tast-selv" login-metode. Jeg har hørt fra flere, at når valgmuligehden er der, så er det Tast-selv metoden der bruges. Nu må det snart gå op for politikerne: NemID er en dårlig idé. Få det nu stoppet det skidt, så vi kan få et ordentligt digitaliseret samfund, sådan som de fleste af os gerne vil, vi vil bare ikke have NemID og den Java der følger med. Oracle, en stor amerikansk virksomhed, som er kendt for at være særedeles træge med softwareopdateringer, er ikke en virksomhed vi har tillid til.

ECMA-script? Ja, det er fint. Det vil vi gerne have. Sæt igang med det samme.

Robert Larsen

der er kun er een JRE der virker med NemID, og det er den sidste nye fra Oracle.

Og OpenJDK.

Helt præcist hvad NemID leder efter på borgernes harddisk er ikke helt kendt


Joo, det er nu efterhånden ret godt kendt. Den genererer en unik checksum (ud fra filer og netkort adresser og andet godt fra havet), som kan bruges til at identificere den maskine, som et givet login er sket fra...og nej, det kan man ikke fra JavaScript.

ECMA-script kan ikke åbne en IP-forbindelse til en anden server, end den server den kommer fra. Det kan Java og det introducere et nyt problem.


Enlighten me please?
JavaScript kan ikke oprette rene TCP (eller UDP) forbindelser, men der findes da bestemt tricks, såsom JSONP, som gør, at man kan forbinde og kommunikere cross domain.

Jeg vil så også gerne have en JavaScript baseret løsning.

Lars Tørnes Hansen

Vi snakker om java 7 update 11 der blev udgivet her i søndags.
Det er Windows brugere der er i risikozonen.

Less than 24 hours after Oracle fixed a Java 0day, miscreants were selling another Java 0day in Java 7 Update 11

http://krebsonsecurity.com/2013/01/new-java-exploit-fetches-5000-per-buyer/
via
https://twitter.com/briankrebs/status/291549903782543362

Peter Müller

ECMA-script kan ikke åbne en IP-forbindelse til en anden server, end den server den kommer fra. Det kan Java og det introducere et nyt problem.

Javascript kan oprette forbindelse til servere som det ikke er evalueret fra på følgende måder:
* Inject html med css/billede/javacript tags i dokumentet, hvilket vil medføre HTTP GET requests, også til andre servere.
* Inject en iframe med extern src atribut --> HTTP GET request
* Submit en form med en action på en fremmed server --> HTTP POST request

Og der er sikkert en masse andre teknikker jeg har glemt fordi de har mindre værdig i daglig udviklingsbrug.

Det er sandt at man ikke kan tilgå infromationerne fra andre domæner på en særlig brugbar måde. Poster jeg en form til et andet domæne i en iframe o html dokumentet, så kan jeg ikke læse svaret på grund af cross origin beskyttelse. Tilsvarende med XmlHTTPRequests (ajax) på andre domæner. Med mindre CORS tillader det.

Men forbindelser, dem kan man lave mange af.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Project Management - Methods and Tools

Hvornår: 2015-08-31 Hvor: Østjylland Pris: kr. 14800.00

PRINCE2® Practitioner med Foundation forberedelse

Hvornår: 2015-09-14 Hvor: Storkøbenhavn Pris: kr. 14900.00

CERT 70-412 Configuring Advanced Windows Server 2012 Services

Hvornår: 2015-12-10 Hvor: Østjylland Pris: kr. 4950.00

Den proaktive kundeservicemedarbejder

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Apollo 13 - an ITSM case experience

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale