Acros Security har opdaget et nyt, kritisk hul i Oracles Java Runtime Environment (JRE). Hullet gør det muligt at videredirigere brugeren til en anden lokation, som f.eks. et remote share eller en angribende server, hvilket kan føre til plantning af binær kode på et sårbart system.
JRE er særlig interessant i dansk sammenhæng, fordi det er den virtuelle maskine, som NemID baserer sig på. Og med flere end 3 millioner danske NemID-brugere er udbredelsen ekstra høj set i forhold til andre lande.
»I forbindelse med danskernes kommunikation med det offentlige via NemID er JRE mere udbredt end andre steder. Dén store udbredelse sammenholdt med beskaffenheden af sårbarheden gør, at vi betragter det her som kritisk,« siger it-sikkerhedsekspert Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.
Umiddelbart vurderer han dog ikke, at de it-kriminelle har øjnene oppe for det faktum, at danskere i højere grad er eksponeret for sårbarheden end andre, men alt andet lige gør det danskerne til nemmere ofre.
»De fleste, der udnytter Java JRE, gør det i exploit kits og skyder med spredehagl. Og med de detaljer, der er frigivet, så vil det ikke være vanskeligt at omsætte proof of concept'et til rigtig angrebskode. Lur mig, om ganske få dage, så er hullet med i et metasploit-kit,« siger Peter Kruse.
CSIS anbefaler i en mail til sine kunder, at man udviser forsigtighed med at aktivere indhold fra kilder, man ikke har eksplicit tillid til. Oracle vil højst sandsynligt korrigere problemet snarest muligt, hvilket vil kræve, at en ny version af Java JRE klargøres og frigives. En oplagt fix på problemet er at forhindre hotspot konfigurationsfiler fra at blive indlæst fra den aktive arbejdsmappe, skriver CSIS.
Hos Nets DanID, der står bag NemID, er man ikke nervøs for den nyopdagne sårbarhed i den teknologi, som NemID baserer sig på.
»Vores sædvanlige råd til brugerne er, at man altid skal holde programmerne på sin PC opdaterede, så man altid benytter de seneste programversioner. Det er der ikke noget nyt i, og det gælder også for Java. Men på spørgsmålet om, hvorvidt denne sårbarhed i Java udgør en specifik trussel for NemID-brugerne, så er svaret, at man netop har introduceret NemID, der benytter sig af tofaktor-sikkerhed, for at øge sikkerheden mod angreb, hvor brugerens PC er blevet kompromitteret. Vi mener altså ikke, at denne Java-sårbarhed udgør en fare for NemID-brugerne,« skriver kommunikationsmedarbejder i Nets DanID, Michael Juul Rugaard, i en mail til Version2.