Her er lappen til kritisk Java-hul – sådan gør du

Oracle har ekspreslappet et kritisk hul i Java-platformen, der herhjemme blandt andet bruges til NemID. Se hvad du skal gøre her.

4 millioner danske NemID-brugere kan snart ånde lettet op.

Læs også: Alarm: 4 millioner NemID-brugere truet af kritisk Java-hul

Det kritiske sikkerhedshul i Java, som it-kriminelle aktivt udnytter til at kidnappe pc'er og stjæle log-in-informationer, er nu blevet lukket. Herhjemme er Java blandt andet påkrævet, når der skal logges på hjemmesider med NemID.

It-giganten Oracle har natten til mandag udsendt en hasteopdatering til Java, der effektivt sætter en stopper for det aktuelle misbrug.

Lige så snart opdateringen er blevet installeret, og du har genstartet din browser, kan hackerne ikke overtage din pc gennem det meget omtalte Java-hul.

Oracle udsendte lørdag en yderst kortfattet meddelelse, der bekræftede, at man var i fuld gang med at lappe hullet.

Læs også: Kritisk Java-hul er kæmpe millionforretning

»Oracle er bekendt med en fejl i Java-software, der er integreret i webbrowsere. Fejlen er begrænset til JDK7. Den findes ikke i andre releases af Java og berører ikke Java-applikationer, der er direkte installeret og kører på servere, på desktoppen, på bærbare pc'er og andre devices. En rettelse vil være tilgængelig snarest,« var den fulde ordlyd af pressemeddelelsen.

Ud over at lappe det aktuelle hul ændrer opdateringen standardopsætningen af Java, så sikkerhedsindstillingerne automatisk er sat til 'høj' i stedet for 'medium'.

Version2 viser her, hvordan du opdaterer din Java til den nye version:

Åbn Java.com i din browser og klik på 'Do I have Java?'

Klik herefter på Verify Java version

Klik 'Run' i det popup-vindue, der dukker op.

Alt afhængig af hvilken browser og hvilken Java-version, du kører, vil du nu blive guidet igennem det relevante opdateringsforløb.

Når du er færdig med at opdatere Java, behøver du ikke længere følge det tidligere råd om at deaktivere Java.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Kenneth Andersen

Jeg bruger også Linux Mint, og har også nogen forundring overfor dette.

Som jeg har forstået det, så skal man have noget ekstra installeret, for at kunne køre applets (da jeg blot havde JDK eller JRE installeret, vistes der ingen login-boks).

Nu bruger jeg plugin'en "IcedTea", hvorefter det fint kan køre. Næste problem er så, at jeg har IcedTea6 installeret, og at IcedTea7 findes. Det skal downloades, kompileres og installeres korrekt...og denne process kunne det være godt, hvis man kunne finde en vejledning i (step by step).

  • 3
  • 0
#5 Kenneth Andersen

Efter lidt søgning efter en løsning (igen), ser det ud til, at plugin'en faktisk er installeret korrekt, men at der er en bug i Linux Mint.

De forskellige plugins kan downloades her: https://launchpad.net/ubuntu/+source/icedtea-web

De kan desuden også installeres via "apt-get install...".

Selvom man bliver gjort opmærksom på, at det er en forældet plugin i browseren, så viser "java -version" bl.a., at det faktisk er den rigtige version, der er installeret.

Nederst på denne side, kan man opdatere sig: http://r-interface.blogspot.in/2012/05/java-openjdk-install-errors-in-ub...

Da OpenJDK vel er anderledes end Sun/Oracles implementering af plugin'en, går jeg ud fra, at der ikke automatisk er de samme sårbarheder. Derfor bruger jeg stadig IcedTea. Men lidt mere information omkring evt. sammenfald mellem Java(Sun/Oracle)-sårbarheder kontra OpenJDK/IcedTea ville da være rart :-)

  • 2
  • 0
#11 Brian Hansen

Jette, slutbrugeren, der i mange tilfælde hverken er IT eller engelsk kyndig, skal ikke tage stilling til om en "applet" er "signeret" eller ej, de ved ganske enkelt ikke hvad det betyder og klikker bare ja til det hele :) Her i firmaet kommer der ikke java ind på nogen PC før det hul er lukket, eneste undtagelse er vores bogholder der desværre er hunget op på NemID og digital signatur.

  • 5
  • 1
#12 Henrik Gullaksen

(Taget fra Politikens artikel)

Søren Winge afviser, at Nets og firmaets partnere overvejer at skifte Java ud og finde en anden løsning. Heller ikke på længere sigt er der planer om det.

"Vi mener, at det fortsat er en god løsning, vi bruger, men det er klart, at vi hele tiden lytter til, hvad der kommer om nye løsninger"

Hvis det her ikke har været et hint at Java er en dårlig idé og vil stadigvæk være det i fremtiden, så ved jeg ikke hvad er.

  • 4
  • 0
#13 Bo Zachariasen

Når jeg åbner Java via win7 control panel er Update fanen der ikke fordi det er en 64-bit version af Java. http://www.java.com/en/download/help/java_update.xml#sched

Efter klik på about i Java via win7 control panel i fanen General oplyses: Version 7 update 9.

Men når jeg følger vejledningen i "Her er lappen til kritisk Java-hul – sådan gør du" giver et klik på 'Do I have Java?' samt et par ekstra klik oplysningen: Version 7 Update 11.

Update 9 eller 11 er vel ikke ligegyldigt? Det er måske svært at skrive 11.

Opdateret: Den JavaRE som er i control panelet høre til IE - Chrome og Opera browserne har sig egen. Man skal opdatere JRE flere gange i hver browser. Det er godt at jeg ikke pensionist og er tvunget til at bruge IT.

  • 0
  • 0
#15 Sune Marcher

Selvom man bliver gjort opmærksom på, at det er en forældet plugin i browseren, så viser "java -version" bl.a., at det faktisk er den rigtige version, der er installeret.

Den seneste Java-version ja, men derfor kan IcedTea plugin'et vel godt være forældet?

Med Oracles JRE får du browser-plugin'et i samme pakke - jeg ved ikke hvordan forholdet er mellem OpenJDK og IcedTea, men det er i hvert fald to forskellige pakker?

  • 0
  • 0
#16 Kenneth Andersen

Den seneste Java-version ja, men derfor kan IcedTea plugin'et vel godt være forældet?

Det troede jeg også - indtil jeg så et indlæg på nettet om det. Så fyrede jeg selv kommandoen af, og ganske rigtigt skriver den også, hvilken version af IcedTea, der er installeret.

Da jeg havde JRE installeret, der kom der ikke nogen boks frem på siden, hvor login'et skulle være. Derfor fandt jeg ud af, at IcedTea kunne løse problemet. Om det så er den optimale løsning (på flere problemstillinger), det skal jeg så ikke kunne skrive under på. Men det er det bedste, jeg har kunne analysere mig frem til.

  • 1
  • 0
#17 Lars Bengtsson

Jeg kører Linux Mint og har derfor Ubuntus open-source java. Er den også problematisk? Er det noget man bør udskifte med Oracles officielle java?

Jeg går ud fra at Linux Mint har OpenJDK i set pakkesystem. Man har formentlig kun Oracle Java på Linux hvis man selv har downloadet den fra Oracle, pga. deres licensering ikke tillader distribution i pakkesystemer.

Ifølge kilder er OpenJDK ikke sårbar på det aktuelt nævnte punkt. Se evt. http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-0422.html og https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-0422

Men java plugin i browseren er sandsynligvis også et sikkerhedshul for OpenJDK (eller IBM Java), der er bare ikke nogen kendte eller medieomtalt udnyttelse ("exploits").

  • 1
  • 0
#18 Hans Micheelsen

Efter opdatering til 1.7.0_11 virkede java i firefox ikke. Men jeg fandt en løsning: - Tilføj nøglen "HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@java.com/JavaPlugin,version=10.11.2" - Opret strengværdien Path med indholdet "c:\Programmer\Java\jre7\bin\plugin2\npjp2.dll"

Dejlig nemt, ikke? Jeg behøver vel ikke forklare, hvordan jeg fandt ud af det. Det er vist indlysende.

Er alle Oracle-produkter lige så nemme? Og sikre? Så vil jeg straks købe en masse af dem

  • 0
  • 0
Log ind eller Opret konto for at kommentere