Her er lappen til kritisk Java-hul – sådan gør du

14. januar 2013 kl. 09:4619
Oracle har ekspreslappet et kritisk hul i Java-platformen, der herhjemme blandt andet bruges til NemID. Se hvad du skal gøre her.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

4 millioner danske NemID-brugere kan snart ånde lettet op.

Det kritiske sikkerhedshul i Java, som it-kriminelle aktivt udnytter til at kidnappe pc'er og stjæle log-in-informationer, er nu blevet lukket. Herhjemme er Java blandt andet påkrævet, når der skal logges på hjemmesider med NemID.

It-giganten Oracle har natten til mandag udsendt en hasteopdatering til Java, der effektivt sætter en stopper for det aktuelle misbrug.

Lige så snart opdateringen er blevet installeret, og du har genstartet din browser, kan hackerne ikke overtage din pc gennem det meget omtalte Java-hul.

Artiklen fortsætter efter annoncen

Oracle udsendte lørdag en yderst kortfattet meddelelse, der bekræftede, at man var i fuld gang med at lappe hullet.

»Oracle er bekendt med en fejl i Java-software, der er integreret i webbrowsere. Fejlen er begrænset til JDK7. Den findes ikke i andre releases af Java og berører ikke Java-applikationer, der er direkte installeret og kører på servere, på desktoppen, på bærbare pc'er og andre devices. En rettelse vil være tilgængelig snarest,« var den fulde ordlyd af pressemeddelelsen.

Ud over at lappe det aktuelle hul ændrer opdateringen standardopsætningen af Java, så sikkerhedsindstillingerne automatisk er sat til 'høj' i stedet for 'medium'.

Version2 viser her, hvordan du opdaterer din Java til den nye version:

Artiklen fortsætter efter annoncen

Åbn Java.com i din browser og klik på 'Do I have Java?'

Klik herefter på Verify Java version

Klik 'Run' i det popup-vindue, der dukker op.

Alt afhængig af hvilken browser og hvilken Java-version, du kører, vil du nu blive guidet igennem det relevante opdateringsforløb.

Artiklen fortsætter efter annoncen

Når du er færdig med at opdatere Java, behøver du ikke længere følge det tidligere råd om at deaktivere Java.

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
14. januar 2013 kl. 16:43

Efter opdatering til 1.7.0_11 virkede java i firefox ikke. Men jeg fandt en løsning:

  • Tilføj nøglen "HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins@java.com/JavaPlugin,version=10.11.2"
  • Opret strengværdien Path med indholdet "c:\Programmer\Java\jre7\bin\plugin2\npjp2.dll"

Dejlig nemt, ikke? Jeg behøver vel ikke forklare, hvordan jeg fandt ud af det. Det er vist indlysende.

Er alle Oracle-produkter lige så nemme? Og sikre? Så vil jeg straks købe en masse af dem

14
14. januar 2013 kl. 14:30

Man kan ikke slette en kommentar, som man ikke selv synes er rigtigt god alligevel - Kun redigere ;-)

13
14. januar 2013 kl. 14:18

Når jeg åbner Java via win7 control panel er Update fanen der ikke fordi det er en 64-bit version af Java.http://www.java.com/en/download/help/java_update.xml#sched

Efter klik på about i Java via win7 control panel i fanen General oplyses: Version 7 update 9.

Men når jeg følger vejledningen i "Her er lappen til kritisk Java-hul – sådan gør du" giver et klik på 'Do I have Java?' samt et par ekstra klik oplysningen: Version 7 Update 11.

Update 9 eller 11 er vel ikke ligegyldigt? Det er måske svært at skrive 11.

Opdateret: Den JavaRE som er i control panelet høre til IE - Chrome og Opera browserne har sig egen. Man skal opdatere JRE flere gange i hver browser. Det er godt at jeg ikke pensionist og er tvunget til at bruge IT.

12
14. januar 2013 kl. 14:13

(Taget fra Politikens artikel)


Søren Winge afviser, at Nets og firmaets partnere overvejer at skifte Java ud og finde en anden løsning. Heller ikke på længere sigt er der planer om det.

"Vi mener, at det fortsat er en god løsning, vi bruger, men det er klart, at vi hele tiden lytter til, hvad der kommer om nye løsninger"

Hvis det her ikke har været et hint at Java er en dårlig idé og vil stadigvæk være det i fremtiden, så ved jeg ikke hvad er.

8
14. januar 2013 kl. 13:40

Uden at have gravet dybere i det, ser det faktisk ud som om hullet ikke er lukket. Det updaten gør, er bare at advare når der afvikles ikke signerede appletter. Det er en ommer Oracle!

9
14. januar 2013 kl. 14:00

og du mener ikke det er tilladt brugerne at tænke sig bare lidt om? Det kan faktisk være sundt for brugerne at skulle læse forstå og agere SELV - bare en gang i mellem.

19
15. januar 2013 kl. 16:41

@Jette: Det mener du vel ikke alvorligt - i dette tilfælde?

11
14. januar 2013 kl. 14:10

Jette, slutbrugeren, der i mange tilfælde hverken er IT eller engelsk kyndig, skal ikke tage stilling til om en "applet" er "signeret" eller ej, de ved ganske enkelt ikke hvad det betyder og klikker bare ja til det hele :) Her i firmaet kommer der ikke java ind på nogen PC før det hul er lukket, eneste undtagelse er vores bogholder der desværre er hunget op på NemID og digital signatur.

3
14. januar 2013 kl. 11:42

Jeg bruger Heimdal fra CSIS og der kom opdateringen automatisk kl. 11:30

1
14. januar 2013 kl. 10:05

Jeg kører Linux Mint og har derfor Ubuntus open-source java. Er den også problematisk? Er det noget man bør udskifte med Oracles officielle java?

17
14. januar 2013 kl. 15:04

Jeg kører Linux Mint og har derfor Ubuntus open-source java. Er den også problematisk? Er det noget man bør udskifte med Oracles officielle java?

Jeg går ud fra at Linux Mint har OpenJDK i set pakkesystem. Man har formentlig kun Oracle Java på Linux hvis man selv har downloadet den fra Oracle, pga. deres licensering ikke tillader distribution i pakkesystemer.

Ifølge kilder er OpenJDK ikke sårbar på det aktuelt nævnte punkt. Se evt. http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-0422.html og https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-0422

Men java plugin i browseren er sandsynligvis også et sikkerhedshul for OpenJDK (eller IBM Java), der er bare ikke nogen kendte eller medieomtalt udnyttelse ("exploits").

5
14. januar 2013 kl. 12:43

Efter lidt søgning efter en løsning (igen), ser det ud til, at plugin'en faktisk er installeret korrekt, men at der er en bug i Linux Mint.

De forskellige plugins kan downloades her:https://launchpad.net/ubuntu/+source/icedtea-web

De kan desuden også installeres via "apt-get install...".

Selvom man bliver gjort opmærksom på, at det er en forældet plugin i browseren, så viser "java -version" bl.a., at det faktisk er den rigtige version, der er installeret.

Nederst på denne side, kan man opdatere sig:http://r-interface.blogspot.in/2012/05/java-openjdk-install-errors-in-ubuntu.html

Da OpenJDK vel er anderledes end Sun/Oracles implementering af plugin'en, går jeg ud fra, at der ikke automatisk er de samme sårbarheder. Derfor bruger jeg stadig IcedTea. Men lidt mere information omkring evt. sammenfald mellem Java(Sun/Oracle)-sårbarheder kontra OpenJDK/IcedTea ville da være rart :-)

15
14. januar 2013 kl. 14:37

Selvom man bliver gjort opmærksom på, at det er en forældet plugin i browseren, så viser "java -version" bl.a., at det faktisk er den rigtige version, der er installeret.

Den seneste Java-version ja, men derfor kan IcedTea plugin'et vel godt være forældet?

Med Oracles JRE får du browser-plugin'et i samme pakke - jeg ved ikke hvordan forholdet er mellem OpenJDK og IcedTea, men det er i hvert fald to forskellige pakker?

16
14. januar 2013 kl. 14:53
Den seneste Java-version ja, men derfor kan IcedTea plugin'et vel godt være forældet?

Det troede jeg også - indtil jeg så et indlæg på nettet om det. Så fyrede jeg selv kommandoen af, og ganske rigtigt skriver den også, hvilken version af IcedTea, der er installeret.

Da jeg havde JRE installeret, der kom der ikke nogen boks frem på siden, hvor login'et skulle være. Derfor fandt jeg ud af, at IcedTea kunne løse problemet. Om det så er den optimale løsning (på flere problemstillinger), det skal jeg så ikke kunne skrive under på. Men det er det bedste, jeg har kunne analysere mig frem til.

2
14. januar 2013 kl. 10:29

Jeg bruger også Linux Mint, og har også nogen forundring overfor dette.

Som jeg har forstået det, så skal man have noget ekstra installeret, for at kunne køre applets (da jeg blot havde JDK eller JRE installeret, vistes der ingen login-boks).

Nu bruger jeg plugin'en "IcedTea", hvorefter det fint kan køre. Næste problem er så, at jeg har IcedTea6 installeret, og at IcedTea7 findes. Det skal downloades, kompileres og installeres korrekt...og denne process kunne det være godt, hvis man kunne finde en vejledning i (step by step).

7
14. januar 2013 kl. 13:37

Installering i Mint er let & automatisk via Synaptic.

10
14. januar 2013 kl. 14:03

Ja, problemet er bare, at selvom man (jeg) gør det, så kommer den stadig frem med en advarsel om forældet plugin, når man (jeg) besøger en netside, hvor funktionaliteten skal bruges. Derfor al den hurlumhej her :-)