Java-hul brækket op igen tre timer efter nødpatch

Det samme sikkerhedsfirma, som fandt det sikkerhedshul, Oracle måtte lappe med en ekstraordinær opdatering i torsdags, har nu fundet nye sikkerhedshuller i den rettede version af Java.

Det tog blot to til tre timer for sikkerhedseksperterne hos det polske sikkerhedsfirma Security Explorations at finde nye sikkerhedshuller i den allernyeste version af Java, efter Oracle udsendte en ekstraordinær sikkerhedsopdatering torsdag i sidste uge. Det skriver Ars Technica.

Sikkerhedseksperterne forsøgte at tilpasse det exploit, som var i omløb efter Oracles opdatering, og det var i den forbindelse, at de nye sikkerhedshuller blev fundet.

Security Explorations havde allerede i april advaret Oracle om det sikkerhedshul i Java, som for nylig blev opdaget i Kina og senere bredte sig til mere udbredte værktøjer til spredning af malware via såkaldte drive-by-downloads fra hjemmesider.

Sikkerhedshullerne findes i Java og kan udnyttes af Java-appletter fra hjemmesider. Dermed er brugere på alle platforme potentielt udsatte for angreb via browseren.

Læs også: Officiel sikkerhedsadvarsel: Slå Java fra – og brug særlig browser til NemID

Før Oracle udsendte den ekstraordinære sikkerhedsopdatering, havde flere sikkerhedsfirmaer opfordret internetbrugere til at fjerne Java eller slå Java-plugin'et fra i deres browser. I Danmark giver det dog et særligt problem, fordi NemID benytter sig af Java, og derfor kan brugerne ikke benytte NemID, hvis de fjerner Java fra deres pc.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Casper Thomsen

Mit gæt er at Apple Java er version < 7, som derfor aldrig har været ramt at den omtalte sårbarhed. Så vidt jeg ved er IBM Java nået til version 7, så den er formentlig også sårbar.

Vi får se om Oracle mener at "De Onde" (TM) opdager det samme som Gowdiak og vennerne eller om de venter til oktober, for så vidt jeg ved er PoC'en ikke offentlig (endnu).

Jan Gundtofte-Bruun

Er det ikke ret ligegyldigt i praksis, i og med at Danid's fine java-løsning bare ikke virker på andet end Sun Java?
(Ikke at jeg overhovedet kan forstå hvorfor det er tilfældet, og hvad i alverden Danid har gjort for at opnå det, men jeg er lidt skeptisk over hvorvidt det er uforsætligt.)

Jan Gundtofte-Bruun
  • "NemID virker fint her ..."
  • "Hvor har du den sjove ide fra ?"
  • "Det er korrekt, at Danid's Java-løsning ikke virkede med andet end Sun Java i starten. Men det blev ændret efter nogen tid."

Ah! Alle tiders. Jeg har selv haft problemer med flere forskellige Linux-distributioner, men hvis det virker nu, så ved jeg da hvad jeg skal lave i aften. Mange tak, alle tre! :-)

Sune Marcher

Er det ikke ret ligegyldigt i praksis, i og med at Danid's fine java-løsning bare ikke virker på andet end Sun Java?

Der har været problemer med OpenJDK+IcedTea+FireFox, men det virker nutildags.

Jeg ved ikke om det er generelt løst, men jeg fik det til at virke ved at følge rådet fra http://ubuntudanmark.dk/forum/viewtopic.php?f=24&t=15645 . Lige til at starte med hang en transaktion i ny og næ, men senere opdatering (om det har været NemID applet, FireFox, OpenJDK/IcedTea har jeg ikke styr på!) fik fixet problemerne helt. Nordea netbank.

32bit XUbuntu 12.04.1 under vmware, alle tilgængelige opdateringer til og med d.1/9, hvilket betyder openjdk-6-jre 6n24-1.11.3-1ubuntu, FireFox 15.0 med IcedTea 1.2, og følgende extensions: AdBlockPlus, Certificate Patrol, Ghostery, NoScript.

Mikael Ibsen

når det sidste (ha ha) sikkerhedshul i Java er blevet lappet ?

Nej - det var slet ikke morsomt at læse.

Og det var heller ikke sådan ment !

Det er en offentlig ynk, at de systemer, vi baserer - eller rettere - SKAL basere os på i kommunikation med banker, kommuner etc. ikke er 200 % sikre. Og når de så ikke virker, er der kø ved håndvasken - eller en mur af rygge.

Log ind eller Opret konto for at kommentere