Oracle udsender ny nødpatch til Java i browseren

Oracle patcher sårbarhed i Java, som for nylig er blevet misbrugt af hackere til at installere den såkaldte McRat-malware. Opdater med det samme, siger selskabet.

Alle, der bruger Java i browseren - og dem er der mange af i NemID-nationen Danmark - bør opdatere deres installation af Java så hurtigt som muligt.

Det oplyser Java-producenten Oracle i en meddelelse om to sårbarheder, hvoraf den ene for nylig er blevet udnyttet af it-kriminelle til at installere McRat-malwaren.

Sårbarheden er den seneste af en række kritiske sikkerhedshuller, der har plaget Java de senere måneder. Herhjemme anslår it-sikkerhedsfirmaet Secunia, at 97 procent af Windows-folket har Java installeret i en eller anden version.

Læs også: Så opdateret er danskernes Java - i bedste fald

Den konkrete sårbarhed blev allerede meldt ind til Oracle 1. februar, og selskabet havde egentlig planlagt at udsende sikkerhedsopdateringen 16. april, indtil rapporter om it-kriminelles udnyttelse af sårbarheden for nylig tikkede ind.

Selskabets forrige sikkerhedsopdatering var planlagt til at gå ud 19. februar, men den endte også med at blive fremskyndet til begyndelsen af februar. Også dengang havde it-kriminelle kastet sig over at udnytte sårbarhederne i praksis.

Læs også: Oracle lynlapper 50 Java-huller - opdatér nu

Sårbarheden omfatter alle versioner af Java SE og er indtil videre set udnyttet i Java v1.6 update 41 og Java v1.7 update 15. Den omfatter ikke Java på servere, almindelige desktopapplikationer eller indlejrede Java-applikationer.

Du kan læse mere om opdateringen hos Oracle.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Lars Bengtsson

En analyse beskrevet i Infoworld 16. jan http://www.infoworld.com/t/java-programming/why-fixing-the-java-flaw-wil... siger kort sagt at kompleksiteten i JVM'en er blevet så stor at der er mange mulige angrebsvektorer. Desuden er lukketheden fra Oracles side, en faktor der forhindrer hjælp fra OpenJDK udviklerne.

Jeg mener at Oracle burde lave en forsimplet version af JVM'en til brug for browser plugin. Det er features som invokedynamic og reflection som giver muligheder for misbrug.

  • 3
  • 0
#4 Casper Bang

Sårbarheden omfatter alle versioner af Java SE og er indtil videre set udnyttet i Java v1.6 update 41 og Java v1.7 update 15. Den omfatter ikke Java på servere, almindelige desktopapplikationer eller indlejrede Java-applikationer.

Der er noget galt her. Java er opdelt i ME (mobile), SE (desktop/browser) og EE (server). Hvordan kan fejlen omfatte alle versioner af Java SE, samtidig med at den ikke omfatter Java på almindelige desktopapplikationer eller indlejrede Java-applikationer?

  • 1
  • 0
#7 Lars Bengtsson

Der er noget galt her. Java er opdelt i ME (mobile), SE (desktop/browser) og EE (server). Hvordan kan fejlen omfatte alle versioner af Java SE, samtidig med at den ikke omfatter Java på almindelige desktopapplikationer eller indlejrede Java-applikationer?

Som jeg forstår det så består angrebene i at tilsidesætte de restriktioner i JVM'ens "Security manager" som forhindrer usignerede Applets i at tilgå filsystem og køre eksterne programmer. Jeg formoder at muligheden også er der i Java EE, da det er den samme JVM der bruges, men ikke har nogen sikkerhedsmæssig betydning, da man alligevel ikke baserer sikkerheden på sandboxen via Security manager.

  • 0
  • 0
#8 Casper Bang

Gæt: fordi det igen-igen er browser-plugin'et fra SE der er synderen?

Ja jeg kan se version2's tekst er mere eller mindre direkte oversat fra Oracle: "These vulnerabilities are not applicable to Java running on servers, standalone Java desktop applications or embedded Java applications".

Jeg tolkede så bare "embedded" som værende appletter (der normalt er embedded på en web-side, sågar med et HTML embed tag).

  • 0
  • 0
Log ind eller Opret konto for at kommentere