Java-hul brækket op igen tre timer efter nødpatch

4. september 2012 kl. 08:0514
Java-hul brækket op igen tre timer efter nødpatch
Illustration: Java.
Det samme sikkerhedsfirma, som fandt det sikkerhedshul, Oracle måtte lappe med en ekstraordinær opdatering i torsdags, har nu fundet nye sikkerhedshuller i den rettede version af Java.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det tog blot to til tre timer for sikkerhedseksperterne hos det polske sikkerhedsfirma Security Explorations at finde nye sikkerhedshuller i den allernyeste version af Java, efter Oracle udsendte en ekstraordinær sikkerhedsopdatering torsdag i sidste uge. Det skriver Ars Technica.

Sikkerhedseksperterne forsøgte at tilpasse det exploit, som var i omløb efter Oracles opdatering, og det var i den forbindelse, at de nye sikkerhedshuller blev fundet.

Artiklen fortsætter efter annoncen

Security Explorations havde allerede i april advaret Oracle om det sikkerhedshul i Java, som for nylig blev opdaget i Kina og senere bredte sig til mere udbredte værktøjer til spredning af malware via såkaldte drive-by-downloads fra hjemmesider.

Sikkerhedshullerne findes i Java og kan udnyttes af Java-appletter fra hjemmesider. Dermed er brugere på alle platforme potentielt udsatte for angreb via browseren.

Før Oracle udsendte den ekstraordinære sikkerhedsopdatering, havde flere sikkerhedsfirmaer opfordret internetbrugere til at fjerne Java eller slå Java-plugin'et fra i deres browser. I Danmark giver det dog et særligt problem, fordi NemID benytter sig af Java, og derfor kan brugerne ikke benytte NemID, hvis de fjerner Java fra deres pc.

Emner
14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Opret jobannonce
Tilpas
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatvisning
12
Mikael Ibsen
11. september 2012 kl. 12:01
Gad vidst, hvad der monstro sker,

når det sidste (ha ha) sikkerhedshul i Java er blevet lappet ?

Nej - det var slet ikke morsomt at læse.

Og det var heller ikke sådan ment !

Det er en offentlig ynk, at de systemer, vi baserer - eller rettere - SKAL basere os på i kommunikation med banker, kommuner etc. ikke er 200 % sikre. Og når de så ikke virker, er der kø ved håndvasken - eller en mur af rygge.

  • more_vert
    • insert_linkKopier link
11
Peter Holm Jensen
5. september 2012 kl. 21:14
svarede Sune Marcher [10]
Re: Hvad med openJDK?

Indstallerede openJDK fra debian testing, virkede out of the box med slemID, øh nemid

  • more_vert
    • insert_linkKopier link
10
Sune Marcher
5. september 2012 kl. 20:03
svarede Jan Gundtofte-Bruun [5]
Re: Hvad med openJDK?

Er det ikke ret ligegyldigt i praksis, i og med at Danid's fine java-løsning bare ikke virker på andet end Sun Java?

Der har været problemer med OpenJDK+IcedTea+FireFox, men det virker nutildags.

Jeg ved ikke om det er generelt løst, men jeg fik det til at virke ved at følge rådet fra https://ubuntudanmark.dk/forum/viewtopic.php?f=24&t=15645 . Lige til at starte med hang en transaktion i ny og næ, men senere opdatering (om det har været NemID applet, FireFox, OpenJDK/IcedTea har jeg ikke styr på!) fik fixet problemerne helt. Nordea netbank.

32bit XUbuntu 12.04.1 under vmware, alle tilgængelige opdateringer til og med d.1/9, hvilket betyder openjdk-6-jre 6n24-1.11.3-1ubuntu, FireFox 15.0 med IcedTea 1.2, og følgende extensions: AdBlockPlus, Certificate Patrol, Ghostery, NoScript.

  • more_vert
    • insert_linkKopier link
9
Jan Gundtofte-Bruun
5. september 2012 kl. 15:04
svarede Hans Micheelsen [8]
Re: Hvad med openJDK?
  • "NemID virker fint her ..."
  • "Hvor har du den sjove ide fra ?"
  • "Det er korrekt, at Danid's Java-løsning ikke virkede med andet end Sun Java i starten. Men det blev ændret efter nogen tid."

Ah! Alle tiders. Jeg har selv haft problemer med flere forskellige Linux-distributioner, men hvis det virker nu, så ved jeg da hvad jeg skal lave i aften. Mange tak, alle tre! :-)

  • more_vert
    • insert_linkKopier link
8
Hans Micheelsen
5. september 2012 kl. 13:38
svarede Jan Gundtofte-Bruun [5]
Re: Hvad med openJDK?

Det er korrekt, at Danid's Java-løsning ikke virkede med andet end Sun Java i starten. Men det blev ændret efter nogen tid.

  • more_vert
    • insert_linkKopier link
6
Helge Svendsen
5. september 2012 kl. 10:59
svarede Jan Gundtofte-Bruun [5]
Re: Hvad med openJDK?

NemID virker fint her med OpenJDK 1.6/1.7 og Icedtea plugin, der svarer til. Ubuntu 12.x / firefox / Chrome.

  • more_vert
    • insert_linkKopier link
5
Jan Gundtofte-Bruun
5. september 2012 kl. 10:53
svarede Hans Micheelsen [4]
Re: Hvad med openJDK?

Er det ikke ret ligegyldigt i praksis, i og med at Danid's fine java-løsning bare ikke virker på andet end Sun Java? (Ikke at jeg overhovedet kan forstå hvorfor det er tilfældet, og hvad i alverden Danid har gjort for at opnå det, men jeg er lidt skeptisk over hvorvidt det er uforsætligt.)

  • more_vert
    • insert_linkKopier link
4
Hans Micheelsen
5. september 2012 kl. 09:34
Hvad med openJDK?

openJDK er så vidt jeg kan forstå en slags klon af Oracles java. Men det er mig pløkhamrende umuligt at finde ud af, hvilken version den nuværende version af openJDK svarer til. Der står ikke rigtig noget på deres hjemmeside, synes jeg

  • more_vert
    • insert_linkKopier link
3
Johnnie Hougaard Nielsen
4. september 2012 kl. 11:02
svarede Peter Nielsen [1]
Re: Apple Java, IBM Java

Sådanne bugs vil typisk være afhængig af hvordan den enkelte JVM er implementeret. Da IBM har deres egen J9, vil jeg ikke automatisk gå ud fra at denne også er ramt, men det kunne da være relevant med konkret test.

Min ærgrelse over at Oracle overtog Java da de købte Sun er ikke blevet mindre med tiden.

  • more_vert
    • insert_linkKopier link
2
Casper Thomsen
4. september 2012 kl. 09:55
svarede Peter Nielsen [1]
Re: Apple Java, IBM Java

Mit gæt er at Apple Java er version < 7, som derfor aldrig har været ramt at den omtalte sårbarhed. Så vidt jeg ved er IBM Java nået til version 7, så den er formentlig også sårbar.

Vi får se om Oracle mener at "De Onde" (TM) opdager det samme som Gowdiak og vennerne eller om de venter til oktober, for så vidt jeg ved er PoC'en ikke offentlig (endnu).

  • more_vert
    • insert_linkKopier link
1
Peter Nielsen
4. september 2012 kl. 09:20
Apple Java, IBM Java

Er der nogen der ved om denne sikkerhedsbrist også er gældende i Java versionerne fra Apple og IBM?

  • more_vert
    • insert_linkKopier link