Nu igen: Nyt Java-sikkerhedshul sat til salg for 28.000 kroner

Få dage efter Oracle lukkede et sikkerhedshul i Java, blev en ny sårbarhed udbudt til salg på et hackerforum.

Bitsene er knapt nok blevet tørre efter opdateringen til Java 7 Update 11, før et nyt sikkerhedshul kan være på vej til at plage de brugere, som har Java installeret. Det skriver sikkerhedsblogger Brian Krebs.

Oracle udsendte opdateringen tidligere på ugen for at lukke et alvorligt sikkerhedshul i Java-browser-plugin'et til Java 7, som blev misbrugt af kriminelle.

Læs også: Her er lappen til kritisk Java-hul – sådan gør du

Nu kan balladen begynde forfra, for en administrator på et hackerforum har udbudt et nyt og angiveligt ukendt sikkerhedshul til salg for godt 28.000 kroner til maksimalt to købere. Og ifølge Brian Krebs ser det ud til, at han har fundet aftagere til informationen.

Læs også: Kritisk Java-hul er kæmpe millionforretning

Samme fremgangsmåde er blevet brugt på det samme forum tilbage i oktober, og det skete også netop i kølvandet på en opdatering fra Oracle.

Problemet er browser-delen af Java, som gør det muligt at afvikle såkaldte applets i en virtuel sandkasse på brugerens pc. Hvis der er sikkerhedshuller i denne sandkasse, kan appletten få adgang til systemet med mindst de samme rettigheder som brugeren.

Det nye sikkerhedshul er ikke bekræftet eller set anvendt til forsøg på at sprede malware, men det kan betyde, at Oracle endnu en gang må udsende en ekstraordinær sikkerhedsopdatering af Java.

Den seneste opdatering til Java har sat sikkerhedsindstillingerne til et højere niveau end tidligere, men flere sikkerhedseksperter anbefaler, at man ikke har Java slået til i sin browser, medmindre det er absolut nødvendigt.

Læs også: Trods opdatering: Sikkerhedsfirma advarer stadig mod Java i browseren

Danskerne har imidlertid brug for Java for at kunne logge på tjenester, som benytter NemID. Sikkerhedshullet vedrører ikke direkte NemID, men fordi man har Java-plugin'et aktiveret, kan andre hjemmesider udnytte Java og et eventuelt sikkerhedshul.

Derfor har blandt andet den seneste opdatering af Firefox-browseren tilføjet Java til en sikkerhedsfunktion, hvor brugeren får vist en dialogboks og skal godkende, at en hjemmeside forsøger at afvikle Java. Dermed får brugeren i det mindste en mulighed for at forhindre, at en ondsindet Java-applet bliver afviklet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anders Lund

Jeg installerede quickjava udvidelsen til firefox, som giver knapper til aktivering af java, plugins, javascript osv på udvidelsesbaren, efter den sidste historie. Mine andre browsere understøtter pr domain-indstillinger.

Men den slags løsninger er jo kun for nørder, og hjælper ikke "almindelige mennesker".

  • 5
  • 0
#4 Ole Laursen

Hvorfor er der ikke nogen der sørger for at lukke sådan et forum ned?

Æh? Måske fordi forummet er lovligt? Måske fordi det er bedre at holde en informationskanal man kan overvåge åben?

Det spørgsmål du burde stille er: Hvorfor betaler vi allesammen for at NemID-bagmændene tjener penge på en elendig Java-afhængig løsning? Hvordan kan råddenskaben have bredt sig helt ind i Digitaliseringsstyrelsen så deres arbejdsgruppe kan konkludere at brugen af Java højner sikkerheden?

https://www.nemid.nu/om_nemid/videreudvikling_af_nemid/nemid_til_mobile_...

Jeg tror du vil finde væsentlig større lyssky ting her, oppe i millionklassen, snarere end de håndører en eller anden udenlandsk sikkerhedsekspert tjener på at Oracle er nogle sløve padder.

DET er den virkelige skandale i det her.

  • 12
  • 0
#5 Lasse Enevoldsen

Hvorfor sørger man ikke for at udvikle et sikkert alternativ til Java?

Det er da det mindste man kan forlange, når "man" nu har besluttet at alle danskere SKAL bruge Java-lignenede software for at kommunikere med det offentlige, have en bankkonto og i det hele taget foretage livsnødvendige handlinger i det daglige. "man" er her de danske banker, SKAT, det offentlige administrations-apparat i det hele taget, fortsæt selv listen.

Jeg synes ikke det er rimeligt eller meningsfuldt, at skyde nogen som helst skyld over på Oracle. De har bare lavet et givent produkt og stillet til til gratis og fri rådighed for alle med en internet-forbindelse. Det er fint at man kan se fiduserne i et stykke software som Java, men man må selv sørge for at forbedre java, hvis man vil anvende det til alvorligere ting, hvor sikkerhed er alfa og omega. Det ansvar har "man" overhovedet ikke påtaget sig, men skyder bare al skyld fra sig og lader den danske befolkning i stikken. Det er tid til at tage sig sammen.

Løsningsforslag: Lad UNI C udvikle et sikkert java-lignende stykke software, som alternativ til det alt for ustabile (men gratis og frit tilgængelige) java der findes nu. Det hele finansieres med de penge De Radikale så gerne vil spilde på digital-valg (skøn: 800 millioner kr).

  • 2
  • 2
#7 Daniel Udsen

Hvorfor sørger man ikke for at udvikle et sikkert alternativ til Java?

Husk på at java-applets såvel som næsten ligeså problematiske flash var sat i verden som en sikker erstatning for ActiveX. Nu skal vi så til at erstatte java-applets og lur mig om ikke vi om 5-10 skal finde en ny erstatning for java-appletternes erstatning.

Problemet er at det faktum at man har valgt at kræve adgang til filsystemet betyder at man er nødt til at operere uden for "sandboksen" og gør det temmeligt meget sværrere at levere en sikker sandboks.

Når du egnag kan det samme med HTML5 forsvinder en stor del af de påståede sikkerheds fordele folk ser i HTML5(hvad det nu end er for en størrelse). Det er det gamle problem med at sikkerhed altid skal balanceres imod funktionalitet der spøger for java-appletterne.

  • 5
  • 1
#8 Ole Laursen

Husk på at java-applets såvel som næsten ligeså problematiske flash var sat i verden som en sikker erstatning for ActiveX.

Hvor i alverden har det du fra? Så vidt jeg husker (og Wikipedia giver mig så vidt jeg kan se ret) kom Java applets før ActiveX. Flash var og er først og fremmest et multimediabibliotek.

Men hvordan man end vender og drejer det: Lige siden de blev introduceret har Java applets været en sløv omgang fejlbehæftet skrammel.

Når du egnag kan det samme med HTML5 forsvinder en stor del af de påståede sikkerheds fordele folk ser i HTML5(hvad det nu end er for en størrelse).

Hvis der er en fejl i en browser, så kan du vælge en anden. Når der er en fejl i Java, er hele Danmarks bank- og offentlige infrastruktur på spanden.

  • 2
  • 0
#9 Daniel Udsen

Hvis der er en fejl i en browser, så kan du vælge en anden. Når der er en fejl i Java, er hele Danmarks bank- og offentlige infrastruktur på spanden.

for 10år siden var 95% af alle browsere i DK IE under windows, og der er noget der tyder på at webkit enginen har potientiale for at opnå samme markedsandel om 10år. For 10år siden var der også forskellige konkurerende Java implementeringer.

Derudover er det virkeligt OK med et sikkerhedsproblem bare det kun er 60% af befolkningen der er påvirket?

Problemet er ikke så trivielt at det kun er valget af java der er problemet, problemet at ved at kræve fuld systemadgang for statens logon klient, har man også tvunget brugerne til at acceptere et system der ikke håndhæver en simpel men stærk sandbox model.

NemID er på mange måder designet helt og aldeles forkert, du kan ikke kombinere en 2 factor OTP med en asynkron signatur arkitektur uden fjerne mindst halvdelen af de fordele begge systemer giver.

Det er korrekt at java er ældre end AxtiveX men modsat java-appletter hvor systemadgang er sekundær var det den primære feature for ActiveX så i IE's glansperiode var næsten alle de problematiske apps rettet imod ActiveX. Da ActiveX faldt begyndte man at skifte til "signed" java applets(signed applets kører i en reduceret sandbox).

  • 0
  • 0
#10 Sune Marcher

Det er korrekt at java er ældre end AxtiveX men modsat java-appletter hvor systemadgang er sekundær var det den primære feature for ActiveX så i IE's glansperiode var næsten alle de problematiske apps rettet imod ActiveX. Da ActiveX faldt begyndte man at skifte til "signed" java applets(signed applets kører i en reduceret sandbox).

Umm... wat?

Unsigned applets kører (afhængig af browser/jre-plugin sikkerhedsindstillinger) uden at spørge om lov, men har begrænsede rettigheder. Signed applets spørger (medium security) om lov til at køre, men har derefter pænt meget adgang til dit system.

Hvad sker der når en signed applet (NemID bootstrap) giver sig til at loader og eksekvere unsigned applets (NemID runtime)?

  • 0
  • 0
Log ind eller Opret konto for at kommentere