Nu igen: Nyt Java-sikkerhedshul sat til salg for 28.000 kroner

17. januar 2013 kl. 08:2210
Nu igen: Nyt Java-sikkerhedshul sat til salg for 28.000 kroner
Illustration: Java.
Få dage efter Oracle lukkede et sikkerhedshul i Java, blev en ny sårbarhed udbudt til salg på et hackerforum.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Bitsene er knapt nok blevet tørre efter opdateringen til Java 7 Update 11, før et nyt sikkerhedshul kan være på vej til at plage de brugere, som har Java installeret. Det skriver sikkerhedsblogger Brian Krebs.

Oracle udsendte opdateringen tidligere på ugen for at lukke et alvorligt sikkerhedshul i Java-browser-plugin'et til Java 7, som blev misbrugt af kriminelle.

Nu kan balladen begynde forfra, for en administrator på et hackerforum har udbudt et nyt og angiveligt ukendt sikkerhedshul til salg for godt 28.000 kroner til maksimalt to købere. Og ifølge Brian Krebs ser det ud til, at han har fundet aftagere til informationen.

Samme fremgangsmåde er blevet brugt på det samme forum tilbage i oktober, og det skete også netop i kølvandet på en opdatering fra Oracle.

Artiklen fortsætter efter annoncen

Problemet er browser-delen af Java, som gør det muligt at afvikle såkaldte applets i en virtuel sandkasse på brugerens pc. Hvis der er sikkerhedshuller i denne sandkasse, kan appletten få adgang til systemet med mindst de samme rettigheder som brugeren.

Det nye sikkerhedshul er ikke bekræftet eller set anvendt til forsøg på at sprede malware, men det kan betyde, at Oracle endnu en gang må udsende en ekstraordinær sikkerhedsopdatering af Java.

Den seneste opdatering til Java har sat sikkerhedsindstillingerne til et højere niveau end tidligere, men flere sikkerhedseksperter anbefaler, at man ikke har Java slået til i sin browser, medmindre det er absolut nødvendigt.

Danskerne har imidlertid brug for Java for at kunne logge på tjenester, som benytter NemID. Sikkerhedshullet vedrører ikke direkte NemID, men fordi man har Java-plugin'et aktiveret, kan andre hjemmesider udnytte Java og et eventuelt sikkerhedshul.

Derfor har blandt andet den seneste opdatering af Firefox-browseren tilføjet Java til en sikkerhedsfunktion, hvor brugeren får vist en dialogboks og skal godkende, at en hjemmeside forsøger at afvikle Java. Dermed får brugeren i det mindste en mulighed for at forhindre, at en ondsindet Java-applet bliver afviklet.

Fokus
Emner
10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
Jette Hartmann
17. januar 2013 kl. 11:52

Hvorfor er der ikke nogen der sørger for at lukke sådan et forum ned?

  • more_vert
    • insert_linkKopier link
5
Lasse Enevoldsen
17. januar 2013 kl. 15:19

Hvorfor sørger man ikke for at udvikle et sikkert alternativ til Java?

Det er da det mindste man kan forlange, når "man" nu har besluttet at alle danskere SKAL bruge Java-lignenede software for at kommunikere med det offentlige, have en bankkonto og i det hele taget foretage livsnødvendige handlinger i det daglige. "man" er her de danske banker, SKAT, det offentlige administrations-apparat i det hele taget, fortsæt selv listen.

Jeg synes ikke det er rimeligt eller meningsfuldt, at skyde nogen som helst skyld over på Oracle. De har bare lavet et givent produkt og stillet til til gratis og fri rådighed for alle med en internet-forbindelse. Det er fint at man kan se fiduserne i et stykke software som Java, men man må selv sørge for at forbedre java, hvis man vil anvende det til alvorligere ting, hvor sikkerhed er alfa og omega. Det ansvar har "man" overhovedet ikke påtaget sig, men skyder bare al skyld fra sig og lader den danske befolkning i stikken. Det er tid til at tage sig sammen.

Løsningsforslag: Lad UNI C udvikle et sikkert java-lignende stykke software, som alternativ til det alt for ustabile (men gratis og frit tilgængelige) java der findes nu. Det hele finansieres med de penge De Radikale så gerne vil spilde på digital-valg (skøn: 800 millioner kr).

  • more_vert
    • insert_linkKopier link
7
Daniel Udsen
17. januar 2013 kl. 16:17

Hvorfor sørger man ikke for at udvikle et sikkert alternativ til Java?

Husk på at java-applets såvel som næsten ligeså problematiske flash var sat i verden som en sikker erstatning for ActiveX. Nu skal vi så til at erstatte java-applets og lur mig om ikke vi om 5-10 skal finde en ny erstatning for java-appletternes erstatning.

Problemet er at det faktum at man har valgt at kræve adgang til filsystemet betyder at man er nødt til at operere uden for "sandboksen" og gør det temmeligt meget sværrere at levere en sikker sandboks.

Når du egnag kan det samme med HTML5 forsvinder en stor del af de påståede sikkerheds fordele folk ser i HTML5(hvad det nu end er for en størrelse). Det er det gamle problem med at sikkerhed altid skal balanceres imod funktionalitet der spøger for java-appletterne.

  • more_vert
    • insert_linkKopier link
8
Ole Laursen
18. januar 2013 kl. 10:24

Husk på at java-applets såvel som næsten ligeså problematiske flash var sat i verden som en sikker erstatning for ActiveX.

Hvor i alverden har det du fra? Så vidt jeg husker (og Wikipedia giver mig så vidt jeg kan se ret) kom Java applets før ActiveX. Flash var og er først og fremmest et multimediabibliotek.

Men hvordan man end vender og drejer det: Lige siden de blev introduceret har Java applets været en sløv omgang fejlbehæftet skrammel.

Når du egnag kan det samme med HTML5 forsvinder en stor del af de påståede sikkerheds fordele folk ser i HTML5(hvad det nu end er for en størrelse).

Hvis der er en fejl i en browser, så kan du vælge en anden. Når der er en fejl i Java, er hele Danmarks bank- og offentlige infrastruktur på spanden.

  • more_vert
    • insert_linkKopier link
9
Daniel Udsen
18. januar 2013 kl. 12:11

Hvis der er en fejl i en browser, så kan du vælge en anden. Når der er en fejl i Java, er hele Danmarks bank- og offentlige infrastruktur på spanden.

for 10år siden var 95% af alle browsere i DK IE under windows, og der er noget der tyder på at webkit enginen har potientiale for at opnå samme markedsandel om 10år. For 10år siden var der også forskellige konkurerende Java implementeringer.

Derudover er det virkeligt OK med et sikkerhedsproblem bare det kun er 60% af befolkningen der er påvirket?

Problemet er ikke så trivielt at det kun er valget af java der er problemet, problemet at ved at kræve fuld systemadgang for statens logon klient, har man også tvunget brugerne til at acceptere et system der ikke håndhæver en simpel men stærk sandbox model.

NemID er på mange måder designet helt og aldeles forkert, du kan ikke kombinere en 2 factor OTP med en asynkron signatur arkitektur uden fjerne mindst halvdelen af de fordele begge systemer giver.

Det er korrekt at java er ældre end AxtiveX men modsat java-appletter hvor systemadgang er sekundær var det den primære feature for ActiveX så i IE's glansperiode var næsten alle de problematiske apps rettet imod ActiveX. Da ActiveX faldt begyndte man at skifte til "signed" java applets(signed applets kører i en reduceret sandbox).

  • more_vert
    • insert_linkKopier link
10
Sune Marcher
19. januar 2013 kl. 01:41

Det er korrekt at java er ældre end AxtiveX men modsat java-appletter hvor systemadgang er sekundær var det den primære feature for ActiveX så i IE's glansperiode var næsten alle de problematiske apps rettet imod ActiveX. Da ActiveX faldt begyndte man at skifte til "signed" java applets(signed applets kører i en reduceret sandbox).

Umm... wat?

Unsigned applets kører (afhængig af browser/jre-plugin sikkerhedsindstillinger) uden at spørge om lov, men har begrænsede rettigheder. Signed applets spørger (medium security) om lov til at køre, men har derefter pænt meget adgang til dit system.

Hvad sker der når en signed applet (NemID bootstrap) giver sig til at loader og eksekvere unsigned applets (NemID runtime)?

  • more_vert
    • insert_linkKopier link
4
Ole Laursen
17. januar 2013 kl. 12:58

Hvorfor er der ikke nogen der sørger for at lukke sådan et forum ned?

Æh? Måske fordi forummet er lovligt? Måske fordi det er bedre at holde en informationskanal man kan overvåge åben?

Det spørgsmål du burde stille er: Hvorfor betaler vi allesammen for at NemID-bagmændene tjener penge på en elendig Java-afhængig løsning? Hvordan kan råddenskaben have bredt sig helt ind i Digitaliseringsstyrelsen så deres arbejdsgruppe kan konkludere at brugen af Java højner sikkerheden?

https://www.nemid.nu/om_nemid/videreudvikling_af_nemid/nemid_til_mobile_platforme/

Jeg tror du vil finde væsentlig større lyssky ting her, oppe i millionklassen, snarere end de håndører en eller anden udenlandsk sikkerhedsekspert tjener på at Oracle er nogle sløve padder.

DET er den virkelige skandale i det her.

  • more_vert
    • insert_linkKopier link
3
Pascal d'Hermilly
17. januar 2013 kl. 12:07

Vi kan jo bare DNS blokere sitet - så behøver vi ikke håndtere problemet mere ;-)

  • more_vert
    • insert_linkKopier link
6
Lasse Enevoldsen
17. januar 2013 kl. 15:33

@Pascal haha...selvfølgelig enig med Ole, men dit svar er i særklasse!

  • more_vert
    • insert_linkKopier link
1
Slettet bruger
17. januar 2013 kl. 09:47

Jeg installerede quickjava udvidelsen til firefox, som giver knapper til aktivering af java, plugins, javascript osv på udvidelsesbaren, efter den sidste historie. Mine andre browsere understøtter pr domain-indstillinger.

Men den slags løsninger er jo kun for nørder, og hjælper ikke "almindelige mennesker".

  • more_vert
    • insert_linkKopier link