Efter sikkerhedshul: Ekspert beder dig fjerne Java fra computeren

10. januar 2013 kl. 15:3622
Efter sikkerhedshul: Ekspert beder dig fjerne Java fra computeren
Illustration: Java.
Et nyt sikkerhedshul gør computere med Java sårbare over for hackerangreb. Fjern Java fra din maskine, siger it-sikkerhedsblogger.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Har du Java installeret på din computer, kan det være en god idé at fjerne det fra browseren eller afinstallere det fuldstændigt.

Sådan lyder rådet fra den kendte it-sikkerhedsblogger Brian Krebs på bloggen Krebs on Security.

Årsagen er et nyt exploit, som udnytter et sikkerhedshul i alle versioner af Java 7. Exploit'et er netop blevet føjet til hackerværktøjerne Blackhole og Nuclear Pack, skriver Brian Krebs.

Blackhole kan bruges til at indlejre skadelig kode i en hjemmeside, som derefter kan misbruges til drive-by-angreb mod besøgende, som derved får kompromitteret deres computere. Det misbruges så til at aflure netbankoplysninger eller indlemme maskinen i et botnet.

Artiklen fortsætter efter annoncen

Sikkerhedsfirmaet Alienvault Labs har efterprøvet påstandene fra ophavsmændene til de to hackerværktøjer og kan bekræfte, at alle versioner af Java 7 - også den seneste Update 10 - er sårbare. Der er endnu ingen patch klar fra Oracle, der står bag Java.

»Hvis du har Java installeret, er det en meget god idé at fjerne Java fra din browser eller afinstallere programmet fuldstændigt, hvis du ikke bruger det,« skriver Brian Krebs.

Herhjemme er Java i den brede befolkning nok mest kendt for at være teknologien, der gør brugen af NemID mulig.

Sikkerhedstjenesten DK-CERT har ved tidligere sikkerhedshuller advaret om at bruge Java og anbefalet, at NemID kun benyttes i en særskilt browser.

Fokus
Emner
22 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
Peter Jespersen
11. januar 2013 kl. 13:07

Jeg har tillid til Java (både som sprog og platform), men ikke Oracle. På grund af Oracles hårde kontrol med Java, er vi derhenne hvor jeg egentlig ønsker Java derhen hvor peberet gror. Oracle - EPIC FAIL.

  • more_vert
    • insert_linkKopier link
15
Henrik Kramselund
11. januar 2013 kl. 11:59

Hr Java Blogger - du skal registrere dig med rigtigt navn, det er betingelserne.

Uanset hvad du mener og skriver har jeg valgt at anmelde dig til version2

  • more_vert
    • insert_linkKopier link
24
John Jensen
13. januar 2013 kl. 17:34

@Java Blokker Det er utroligt at man stadig skal læse kommentarer om at Android og MS bliver sikkerhedsopdateret hver måned. Det er præventive sikkerheds opdateringer, forbedringer i det hele taget.

Microsoft blev før i tiden kritiseret for ikke at gøre nok for sikkerheden, derfor begyndte de på de månedlige opdateringer den anden tirsdag i hver måned. Opdateringerne er for det meste bygget på forbedringer, driver opdateringer og rettelser af enkelte fejl, noget som i et hvert eneste program styresystem såvel som Office pakke og andre programmer. Det er kun minimalt hvad der er af sikkerheds rettelser. Microsoft og Android(Google) gennemgår konstant deres software for sikkerhedsrisici og der kommer hele tiden nye og mere luskede værkøjer til, derfor finder man også nye sikkerhedshuller, blandt de største sikkerhedshuller er netop Java, og det er ikke fordi advarslerne om Java har manglet. Hvis Google og Microsoft skulle undlade at udgive deres månedlige opdateringer for at tilfredsstille, folk med argumenter som dit, "at når der kommer opdateringer, rettelser hver måned er det noget lo.t" Det fortæller måske mere om dig som afsender end dem du sigter efter.

  • more_vert
    • insert_linkKopier link
12
Robert Larsen
11. januar 2013 kl. 11:12

Du tager fejl. Fejlen i Java gør, at man kan komme ud af sandkassen og udføre priviligeret kode UDEN AT APPLETTEN ER SIGNERET og dermed UDEN AT DU SKAL ACCEPTERE DEN FØRST!

Altså, det er en usigneret applet men med en signeret applets privilegier, og enhver hjemmeside som (med vilje eller via en fejl) tillader brugere at indsætte applet tags kan bruges som angrebsvektor for denne fejl.

  • more_vert
    • insert_linkKopier link
7
Slettet bruger
10. januar 2013 kl. 20:01

Problemet er ikke, at Java er usikker - det må de selv rode med. Problemet er, at alle danskere, der vil have et bare nogenlunde velfungerende digitalt liv er tvunget til at have Java installeret pga. NemID. Vi har med andre ord ikke muligheden for at vælge fra.

Det viser med al tydelighed, hvor farligt det er, at udvikle en løsning, der er afhængig af en enkelt tredjeparts firmas luner i stedet for at bruge åbne standarder.

  • more_vert
    • insert_linkKopier link
21
Martin Hintzmann
11. januar 2013 kl. 13:23

Java ER open source:

Det er der vist delte meninger om.

"The Apache Software Foundation concludes that that JCP (Java Community Process) is not an open specification process - that Java specifications are PROPRIETARY technology that must be licensed directly from the spec lead under whatever terms the spec lead chooses; that the commercial concerns of a single entity, ORACLE, will continue to seriously interfere with and bias the transparent governance of the ecosystem;"

https://blogs.apache.org/foundation/entry/the_asf_resigns_from_the

  • more_vert
    • insert_linkKopier link
17
Henrik Kramselund
11. januar 2013 kl. 12:07

I praksis kan du forke Java selv eller anvende en anden Java-udbyder end Oracle.

  • som så formentlig ikke vil virke grundet en eller anden lille ting, som ikke er testet.

NemID og andre løsninger er ofte kodet med hovedet oppe i et bestemt sted og KUN testet på FÅ platforme.

I ALLE de år vi har haft netbanker der begyndte at bruge Java til ting har der være inkompatabilitet, ofte fordi man liiiige brugte en extension som kun var på Microsoft Windows. eller fordi man ignorerede stinavne skulle være med \ (backslash på Windows) vs / (forward slash Unix) - selvom sproget burde kunne håndtere det, hvis koderen gad.

Budgettet har UDELUKKENDE været til DEN mest populære platform, så hurtig leverance, med så lille indsats. DERFOR virker Java ikke generelt for NemID altid.

Det er kun fordi Mac og Linux er vokset og har taget en ikke negligerbar andel af markedet at vi idag overhovedet kan bruge netbank og nemid på Mac+Linux.

Når dernæst Java med købet af Sun er endt hos det mest destruktive og kommercielle selskab Oracle er så skadeligt for Javamiljøet at alle løber skrigende bort inkl. hovedmanden James Gosling, 'father of Java,' som forlod Oracle i 2010.

Jeg bruger selv Java og elsker designet med applets og en virtuel maskine, men i praksis HAR Java haft for mange alvorlige remote exploitable sårbarheder, og derfor er jeg selv på vej væk ...

  • more_vert
    • insert_linkKopier link
18
Robert Larsen
11. januar 2013 kl. 12:13

Jeg bruger selv Java og elsker designet med applets og en virtuel maskine, men i praksis HAR Java haft for mange alvorlige remote exploitable sårbarheder, og derfor er jeg selv på vej væk ...

Java bør ikke bruges til applets længere, men det er stadig en fantastisk platform til server og desktop brug. Andre end NemID bruger Java. På www.komogvind.dk f.eks. hvor jeg arbejder har vi ca. 50 Java baserede spil. De bliver ikke reimplementeret på en weekend så de får lov at blive liggende, men vi er holdt op med at implementere nye spil i Java. Andre gør det samme, så Java er stadig i brug derude på nettet.

  • more_vert
    • insert_linkKopier link
14
Jesper Lund
11. januar 2013 kl. 11:45

Faktisk kunne NemID ikke være baseret på en mere åben og platform venlig standard end Java [..]

Lad os bare antage at NemID Java appletten vil fungere med OpenJDK og ikke blot Oracle's proprietære Java fortolker (det er der delte erfaringer med).

Men det gør ikke NemID åben. Hvor er source koden til NemID appletten? I øvrigt er NemID ikke kun Java. Appletten er primært en bootloader som downloader native code forklædt som GIF filer (kreativt, men på ingen måde åbent) og afvikler den.

Måske er det "sikkert nok" med NemID, men det er ikke noget som jeg selv har en mulighed for at vurdere.

  • more_vert
    • insert_linkKopier link
6
Kasper Steensig
10. januar 2013 kl. 19:19

Så jeg kan godt fortsætte med at bruge min Java 8 beta eller hvad...?

  • more_vert
    • insert_linkKopier link
4
Morten Grouleff
10. januar 2013 kl. 16:54

Eller brug en anden browser, der spørger før den kører plugins på en side. Så kan man trykke "Kør" på nemid-login, når man faktisk ved man skal bruge det, og slippe for applets i alle andre sammenhænge.

Selv uden sikkerhedproblemerne er det en rarere browser på den måde.

  • more_vert
    • insert_linkKopier link
22
Hans Schou
11. januar 2013 kl. 20:52

Eller brug en anden browser, der spørger før den kører plugins på en side. Så kan man trykke "Kør" på nemid-login, når man faktisk ved man skal bruge det, og slippe for applets i alle andre sammenhænge.

Et rigtigt godt forslag. Jeg har ikke selv NemID og Java-problemet, men har ansvaret for nogle familiemedlemmers EDB-ve-og-vel. Hvis du selv skal råde nogen, så gør man sådan med Chrome:

  • Klik ind på URL chrome://settings/content
  • Scroll ned til "Plug-ins" (da:Plugins)
  • Vælg radio-knap "Click to play" (da:Klik for at afspille)
  • Der kan være åbnet for nogle web-sider altid starter Java. Fjern dem under "Manage exceptions" (da:Administrer undtagelser)
  • Afprøv blokering hos Skattevæsnet. Chrome viser en besked lige under URL-adresse og klik Run (da:Kør), eller Run always (da:Kør altid)

Har du andre browsere installeret, der kan bruge Java, så de-aktiver Java i deres settings, og brug kun Chrome til NemID.

  • more_vert
    • insert_linkKopier link
3
Pelle Söderling
10. januar 2013 kl. 16:36

Det eneste reelle problem her er NemID. For den brede befolkning har Java Applets reelt udspillet sin rolle og der er ingen grund til at de skal kunne afvikle dem i browseren - hvis det altså ikke liiige var for NemID! Så lad os nu få NemID flyttet over på en standardiseret løsning, der også vil virke fra tablets etc. så vi kan lade Java Applets dø den død det fortjener.

  • more_vert
    • insert_linkKopier link
10
Pelle Söderling
11. januar 2013 kl. 08:12

Der er spilsites som stadig anvender Java Applets, men hvis du skulle lave et spilsite idag ville du så basere det på Java Applets? Nej vel?

Så det er kun et spørgsmål om tid før også disse sites må indse at Java Applets er en døende teknologi. Ikke mindst fordi tablets vinder frem som de gør i den brede befolkning og Java Applets ikke er understøttet på alle de mest populære af dem.

  • more_vert
    • insert_linkKopier link
5
Leif Lodahl
10. januar 2013 kl. 17:32

Her ville det være interessant at se en kommentar fra den ansvarlige minister, ville det ikke?

  • more_vert
    • insert_linkKopier link
2
Casper Bang
10. januar 2013 kl. 16:35

Det er skræmmende at Oracle desværre er så lidt intereseret i at tage tingene i opløbet. Der var næppe mange brugere på Version2 der frivilligt ville køre med JRE, hvis det ikke lige var for NemID.

  • more_vert
    • insert_linkKopier link
1
Steffen Vinther Sørensen
10. januar 2013 kl. 16:24

Sluk din computer og hæng dig selv. Så er du HELT sikker!

  • more_vert
    • insert_linkKopier link
23
John Jensen
13. januar 2013 kl. 17:20

Har du selv prøvet dit forslag. Hvis ja, hjalp det? Hvis nej, så prøv igen ;-)

  • more_vert
    • insert_linkKopier link