Efter sikkerhedshul: Ekspert beder dig fjerne Java fra computeren

Et nyt sikkerhedshul gør computere med Java sårbare over for hackerangreb. Fjern Java fra din maskine, siger it-sikkerhedsblogger.

Har du Java installeret på din computer, kan det være en god idé at fjerne det fra browseren eller afinstallere det fuldstændigt.

Sådan lyder rådet fra den kendte it-sikkerhedsblogger Brian Krebs på bloggen Krebs on Security.

Årsagen er et nyt exploit, som udnytter et sikkerhedshul i alle versioner af Java 7. Exploit'et er netop blevet føjet til hackerværktøjerne Blackhole og Nuclear Pack, skriver Brian Krebs.

Blackhole kan bruges til at indlejre skadelig kode i en hjemmeside, som derefter kan misbruges til drive-by-angreb mod besøgende, som derved får kompromitteret deres computere. Det misbruges så til at aflure netbankoplysninger eller indlemme maskinen i et botnet.

Sikkerhedsfirmaet Alienvault Labs har efterprøvet påstandene fra ophavsmændene til de to hackerværktøjer og kan bekræfte, at alle versioner af Java 7 - også den seneste Update 10 - er sårbare. Der er endnu ingen patch klar fra Oracle, der står bag Java.

»Hvis du har Java installeret, er det en meget god idé at fjerne Java fra din browser eller afinstallere programmet fuldstændigt, hvis du ikke bruger det,« skriver Brian Krebs.

Herhjemme er Java i den brede befolkning nok mest kendt for at være teknologien, der gør brugen af NemID mulig.

Læs også: Officiel sikkerhedsadvarsel: Slå Java fra – og brug særlig browser til NemID

Sikkerhedstjenesten DK-CERT har ved tidligere sikkerhedshuller advaret om at bruge Java og anbefalet, at NemID kun benyttes i en særskilt browser.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Pelle Söderling

Det eneste reelle problem her er NemID. For den brede befolkning har Java Applets reelt udspillet sin rolle og der er ingen grund til at de skal kunne afvikle dem i browseren - hvis det altså ikke liiige var for NemID! Så lad os nu få NemID flyttet over på en standardiseret løsning, der også vil virke fra tablets etc. så vi kan lade Java Applets dø den død det fortjener.

Martin Wolsing

Problemet er ikke, at Java er usikker - det må de selv rode med. Problemet er, at alle danskere, der vil have et bare nogenlunde velfungerende digitalt liv er tvunget til at have Java installeret pga. NemID. Vi har med andre ord ikke muligheden for at vælge fra.

Det viser med al tydelighed, hvor farligt det er, at udvikle en løsning, der er afhængig af en enkelt tredjeparts firmas luner i stedet for at bruge åbne standarder.

Pelle Söderling

Der er spilsites som stadig anvender Java Applets, men hvis du skulle lave et spilsite idag ville du så basere det på Java Applets? Nej vel?

Så det er kun et spørgsmål om tid før også disse sites må indse at Java Applets er en døende teknologi. Ikke mindst fordi tablets vinder frem som de gør i den brede befolkning og Java Applets ikke er understøttet på alle de mest populære af dem.

Robert Larsen

Du tager fejl.
Fejlen i Java gør, at man kan komme ud af sandkassen og udføre priviligeret kode UDEN AT APPLETTEN ER SIGNERET og dermed UDEN AT DU SKAL ACCEPTERE DEN FØRST!

Altså, det er en usigneret applet men med en signeret applets privilegier, og enhver hjemmeside som (med vilje eller via en fejl) tillader brugere at indsætte applet tags kan bruges som angrebsvektor for denne fejl.

Jesper Lund

Faktisk kunne NemID ikke være baseret på en mere åben og platform venlig standard end Java [..]

Lad os bare antage at NemID Java appletten vil fungere med OpenJDK og ikke blot Oracle's proprietære Java fortolker (det er der delte erfaringer med).

Men det gør ikke NemID åben. Hvor er source koden til NemID appletten? I øvrigt er NemID ikke kun Java. Appletten er primært en bootloader som downloader native code forklædt som GIF filer (kreativt, men på ingen måde åbent) og afvikler den.

Måske er det "sikkert nok" med NemID, men det er ikke noget som jeg selv har en mulighed for at vurdere.

Henrik Kramshøj Blogger

I praksis kan du forke Java selv eller anvende en anden Java-udbyder end Oracle.


- som så formentlig ikke vil virke grundet en eller anden lille ting, som ikke er testet.

NemID og andre løsninger er ofte kodet med hovedet oppe i et bestemt sted og KUN testet på FÅ platforme.

I ALLE de år vi har haft netbanker der begyndte at bruge Java til ting har der være inkompatabilitet, ofte fordi man liiiige brugte en extension som kun var på Microsoft Windows. eller fordi man ignorerede stinavne skulle være med \ (backslash på Windows) vs / (forward slash Unix) - selvom sproget burde kunne håndtere det, hvis koderen gad.

Budgettet har UDELUKKENDE været til DEN mest populære platform, så hurtig leverance, med så lille indsats. DERFOR virker Java ikke generelt for NemID altid.

Det er kun fordi Mac og Linux er vokset og har taget en ikke negligerbar andel af markedet at vi idag overhovedet kan bruge netbank og nemid på Mac+Linux.

Når dernæst Java med købet af Sun er endt hos det mest destruktive og kommercielle selskab Oracle er så skadeligt for Javamiljøet at alle løber skrigende bort inkl. hovedmanden James Gosling, 'father of Java,' som forlod Oracle i 2010.

Jeg bruger selv Java og elsker designet med applets og en virtuel maskine, men i praksis HAR Java haft for mange alvorlige remote exploitable sårbarheder, og derfor er jeg selv på vej væk ...

Robert Larsen

Jeg bruger selv Java og elsker designet med applets og en virtuel maskine, men i praksis HAR Java haft for mange alvorlige remote exploitable sårbarheder, og derfor er jeg selv på vej væk ...

Java bør ikke bruges til applets længere, men det er stadig en fantastisk platform til server og desktop brug.
Andre end NemID bruger Java. På www.komogvind.dk f.eks. hvor jeg arbejder har vi ca. 50 Java baserede spil. De bliver ikke reimplementeret på en weekend så de får lov at blive liggende, men vi er holdt op med at implementere nye spil i Java. Andre gør det samme, så Java er stadig i brug derude på nettet.

Peter Jespersen

Jeg har tillid til Java (både som sprog og platform), men ikke Oracle. På grund af Oracles hårde kontrol med Java, er vi derhenne hvor jeg egentlig ønsker Java derhen hvor peberet gror. Oracle - EPIC FAIL.

Martin Hintzmann

Java ER open source:

Det er der vist delte meninger om.

"The Apache Software Foundation concludes that that JCP (Java Community Process) is not an open specification process - that Java specifications are PROPRIETARY technology that must be licensed directly from the spec lead under whatever terms the spec lead chooses; that the commercial concerns of a single entity, ORACLE, will continue to seriously interfere with and bias the transparent governance of the ecosystem;"

https://blogs.apache.org/foundation/entry/the_asf_resigns_from_the

Hans Schou

Eller brug en anden browser, der spørger før den kører plugins på en side. Så kan man trykke "Kør" på nemid-login, når man faktisk ved man skal bruge det, og slippe for applets i alle andre sammenhænge.


Et rigtigt godt forslag. Jeg har ikke selv NemID og Java-problemet, men har ansvaret for nogle familiemedlemmers EDB-ve-og-vel. Hvis du selv skal råde nogen, så gør man sådan med Chrome:

  • Klik ind på URL chrome://settings/content
  • Scroll ned til "Plug-ins" (da:Plugins)
  • Vælg radio-knap "Click to play" (da:Klik for at afspille)
  • Der kan være åbnet for nogle web-sider altid starter Java. Fjern dem under "Manage exceptions" (da:Administrer undtagelser)
  • Afprøv blokering hos Skattevæsnet. Chrome viser en besked lige under URL-adresse og klik Run (da:Kør), eller Run always (da:Kør altid)

Har du andre browsere installeret, der kan bruge Java, så de-aktiver Java i deres settings, og brug kun Chrome til NemID.

John Jensen

@Java Blokker
Det er utroligt at man stadig skal læse kommentarer om at Android og MS bliver sikkerhedsopdateret hver måned.
Det er præventive sikkerheds opdateringer, forbedringer i det hele taget.

Microsoft blev før i tiden kritiseret for ikke at gøre nok for sikkerheden, derfor begyndte de på de månedlige opdateringer den anden tirsdag i hver måned.
Opdateringerne er for det meste bygget på forbedringer, driver opdateringer og rettelser af enkelte fejl, noget som i et hvert eneste program styresystem såvel som Office pakke og andre programmer.
Det er kun minimalt hvad der er af sikkerheds rettelser.
Microsoft og Android(Google) gennemgår konstant deres software for sikkerhedsrisici og der kommer hele tiden nye og mere luskede værkøjer til, derfor finder man også nye sikkerhedshuller, blandt de største sikkerhedshuller er netop Java, og det er ikke fordi advarslerne om Java har manglet.
Hvis Google og Microsoft skulle undlade at udgive deres månedlige opdateringer for at tilfredsstille, folk med argumenter som dit,
"at når der kommer opdateringer, rettelser hver måned er det noget lo.t"
Det fortæller måske mere om dig som afsender end dem du sigter efter.

Log ind eller Opret konto for at kommentere