Oracle udsender ny nødpatch til Java i browseren

5. marts 2013 kl. 14:3210
Oracle udsender ny nødpatch til Java i browseren
Illustration: Java.
Oracle patcher sårbarhed i Java, som for nylig er blevet misbrugt af hackere til at installere den såkaldte McRat-malware. Opdater med det samme, siger selskabet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Alle, der bruger Java i browseren - og dem er der mange af i NemID-nationen Danmark - bør opdatere deres installation af Java så hurtigt som muligt.

Det oplyser Java-producenten Oracle i en meddelelse om to sårbarheder, hvoraf den ene for nylig er blevet udnyttet af it-kriminelle til at installere McRat-malwaren.

Sårbarheden er den seneste af en række kritiske sikkerhedshuller, der har plaget Java de senere måneder. Herhjemme anslår it-sikkerhedsfirmaet Secunia, at 97 procent af Windows-folket har Java installeret i en eller anden version.

Den konkrete sårbarhed blev allerede meldt ind til Oracle 1. februar, og selskabet havde egentlig planlagt at udsende sikkerhedsopdateringen 16. april, indtil rapporter om it-kriminelles udnyttelse af sårbarheden for nylig tikkede ind.

Artiklen fortsætter efter annoncen

Selskabets forrige sikkerhedsopdatering var planlagt til at gå ud 19. februar, men den endte også med at blive fremskyndet til begyndelsen af februar. Også dengang havde it-kriminelle kastet sig over at udnytte sårbarhederne i praksis.

Sårbarheden omfatter alle versioner af Java SE og er indtil videre set udnyttet i Java v1.6 update 41 og Java v1.7 update 15. Den omfatter ikke Java på servere, almindelige desktopapplikationer eller indlejrede Java-applikationer.

Du kan læse mere om opdateringen hos Oracle.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
6. marts 2013 kl. 09:43

Jeg forstår ikke helt hvorfor vi Mac brugere også bliver pisket til at opgradere? På artiklen lyder det som en Windows-only sårbarhed, synes jeg...?

Anyway, heldigvis slipper vi da for den toolbar, den lyder ret irriterende... :-)

4
5. marts 2013 kl. 16:00

Sårbarheden omfatter alle versioner af Java SE og er indtil videre set udnyttet i Java v1.6 update 41 og Java v1.7 update 15. Den omfatter ikke Java på servere, almindelige desktopapplikationer eller indlejrede Java-applikationer.

Der er noget galt her. Java er opdelt i ME (mobile), SE (desktop/browser) og EE (server). Hvordan kan fejlen omfatte alle versioner af Java SE, samtidig med at den ikke omfatter Java på almindelige desktopapplikationer eller indlejrede Java-applikationer?

7
5. marts 2013 kl. 16:16

Der er noget galt her. Java er opdelt i ME (mobile), SE (desktop/browser) og EE (server). Hvordan kan fejlen omfatte alle versioner af Java SE, samtidig med at den ikke omfatter Java på almindelige desktopapplikationer eller indlejrede Java-applikationer?

Som jeg forstår det så består angrebene i at tilsidesætte de restriktioner i JVM'ens "Security manager" som forhindrer usignerede Applets i at tilgå filsystem og køre eksterne programmer. Jeg formoder at muligheden også er der i Java EE, da det er den samme JVM der bruges, men ikke har nogen sikkerhedsmæssig betydning, da man alligevel ikke baserer sikkerheden på sandboxen via Security manager.

8
5. marts 2013 kl. 16:18

Gæt: fordi det igen-igen er browser-plugin'et fra SE der er synderen?

Ja jeg kan se version2's tekst er mere eller mindre direkte oversat fra Oracle: "These vulnerabilities are not applicable to Java running on servers, standalone Java desktop applications or embedded Java applications".

Jeg tolkede så bare "embedded" som værende appletter (der normalt er embedded på en web-side, sågar med et HTML embed tag).

3
5. marts 2013 kl. 15:58

En analyse beskrevet i Infoworld 16. jan http://www.infoworld.com/t/java-programming/why-fixing-the-java-flaw-will-take-so-long-210946 siger kort sagt at kompleksiteten i JVM'en er blevet så stor at der er mange mulige angrebsvektorer. Desuden er lukketheden fra Oracles side, en faktor der forhindrer hjælp fra OpenJDK udviklerne.

Jeg mener at Oracle burde lave en forsimplet version af JVM'en til brug for browser plugin. Det er features som invokedynamic og reflection som giver muligheder for misbrug.

2
5. marts 2013 kl. 15:48

Just Another Vulnerability Announcement :-)

1
5. marts 2013 kl. 15:32

... Så kan man rende rundt og afinstallere ask toolbar crap en halv formiddag igen igen.. Oracle - get your shit together!