Søg

Sådan beskytter du dig imod den nye Java-sårbarhed

Se hvordan du kan beskytte din computer mod at blive kompromitteret på grund af den nye sårbarhed i Java.

29. august 2012 kl. 11.40
Artikel top billede
Lucian Constantin Lucian Constantin

Læs også: Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Computerworld News Service: Der findes ifølge sikkerheds-eksperter adskillige måder, som man kan anvende til at beskytte sin computer mod angreb via en ny og endnu ikke rettet sårbarhed i alle versioner af Java Runtime Environment 7.

Du kan læse mere om sårbarheden her.

De fleste af disse forslag har visse ulemper eller er kun relevante for bestemte systemkonfigurationer eller miljøer.

I fraværet af en officiel rettelse fra Oracle er det dog håbet, at brugerne vil kunne anvende én eller en kombination af dem til at reducere risikoen for, at deres systemer kompromitteres.

Sårbarhed udnyttes aktivt

Analytikere fra sikkerhedsfirmaet FireEye offentliggjorde opdagelsen af den nye sårbarhed i Java søndag og oplyste, at den aktivt udnyttes i et begrænset antal angreb.

Dagen efter dukkede der en fungerende proof of concept-angrebskode op på nettet, som blev integreret i Metasploit, der er et open source-sikkerhedsværktøj til test af netværk, som bruges af mange penetrations-testere.

Den nye sårbarhed anses for at være ekstremt farlig og kan udnyttes til at køre skadelig kode på et system alene ved at brugeren besøger en skadelig webside på en browser, hvor Java-plugin'et er slået til.

Du bør afinstallere Java

Den eneste anbefaling, der går igen blandt de fleste sikkerhedseksperter, med hensyn til hvordan brugerne selv kan beskytte deres systemer fra angreb via denne sårbarhed, er at afinstallere Java eller i det mindste deaktivere Java-plugin'et i deres browsere.

Hvordan man gør det, kan man læse detaljerede instruktioner om i en sikkerhedsmeddelelse, offentliggjort af United States Computer Emergency Readiness Team (US-CERT) mandag.

Dette er sandsynligvis den mest effektive metode til at minimere risikoen associeret med Java, både hvad angår den nye sårbarhed og eventuelle sårbarheder, der opdages i fremtiden.

Denne tilgang har dog den ulempe, at den ikke er praktisk gennemførlig i visse miljøer. 

Det gælder ikke mindst professionelle miljøer, hvor Java-baserede webapplikationer er afgørende for driften.

"De fleste forbrugere har stort set aldrig brug for Java, men mange erhvervsbrugere har brug for Java til ting såsom GoTo Meeting og WebEx," forklarer Chester Wisniewski, der er sikkerhedsrådgiver hos leverandøren af antivirussoftware Sophos.

"I et forretningsmiljø kan man være i stand til at kontrollere JavaW.exe og sørge for, at den kun kører bestemte applets eller opretter forbindelse til kendte IP-adresser til services, man har brug for, og som kræver Java."

Sådan gør du med IE, Chrome og Firefox

En anden løsning foreslås af Wolfgang Kandek, der er teknologidirektør hos sikkerhedsleverandøren Qualys.

Den består af, at man anvender den zone-baserede sikkerhedsmekanisme i Internet Explorer til at begrænse, hvilke websites, der har tilladelse til at indlæse Java-applets.

Som bruger kan man forbyde brugen af Java i Internet-zonen ved at indstille Windows-registernøglen 1C00 til 0 under HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 og kun tillade Java på hvidlistede websites på listen over såkaldt pålidelige websteder, der er tillid til, forklarer Kandek mandag i et blogindlæg.

Brugere af Google Chrome og Mozilla Firefox kan opnå lignende resultater ved at indstille deres browsere sådan, at de som standard blokerer plugin-baseret indhold fra at blive indlæst, indtil brugeren eventuelt godkender indlæsningen.

Denne tilgang gør det også muligt at hvidliste websites.

Understøttes i Chrome

Chrome har længe understøttet denne funktion og det er let at slå den til under Beskyttelse af personlige oplysninger i de avancerede indstillinger.

I Firefox er funktionen dog stadig under udvikling og kan kun aktiveres ved, at man løfter motorhjelmen på browseren og går ind i about:config, hvor man skal ændre værdien "false" til "true" for indstillingen plugins.click_to_play.

Det kan ikke anbefales til almindelige brugere.

Det kan derimod den populære sikkerhedsudvidelse NoScript, der sørger for, at ethvert plugin-baseret indhold aktivt skal godkendes af brugeren, før det indlæses.

Denne udvidelse og andre med lignende funktionalitet kan downloades fra Mozillas store samling af tilføjelser til Firefox.

Brugerens ansvar

Denne tilgang med individuel godkendelse af indhold sætter en stopper for, at sårbarheden automatisk udnyttes, men den forhindrer ikke brugerne i manuelt at godkende indlæsningen af skadelige applets, når de anmodes om det.

Derfor lander opgaven med at vurdere risikoen i sidste ende på brugerens skuldre.

En anden brugerafhængig måde at reducere risikoen for at blive offer for en skadelig Java-applet er at anvende én browser, hvor Java er deaktiveret, til generel brug, men anvende en anden, hvor Java aktiveret, udelukkende til at få adgang til de Java-baserede webapplikationer, man har tillid til.

En sådan tilgang kan muligvis være svær at håndhæve på et virksomhedsnetværk.

Den kan dog være nyttig for sikkerhedsbevidste brugere, der jævnligt har brug for at anvende bestemte webbaserede Java-applikationer fra deres personlige computere.

Læs også: Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Oversat af Thomas Bøndergaard

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    SAP Excellence Day 2026

    It-løsninger | Nordhavn

    SAP Excellence Day 2026

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    Datacenterstrategi 2026

    Infrastruktur | København

    Datacenterstrategi 2026

    Denne konference bidrager med viden om, hvordan du balancerer cloud, on-premise og hybrid infrastruktur med fokus på kontrol, compliance og forretning.

    Identity Festival 2026 - Aarhus

    Sikkerhed | Aarhus C

    Identity Festival 2026 - Aarhus

    Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

    Se alle vores events inden for it

    Forsvarsministeriets Regnskabsstyrelse

    Datadesigner

    Nordjylland

    TV2

    Cloud Platform Engineer til Developer Cloud Platform teamet hos TV 2

    Fyn

    Capgemini Danmark A/S

    Experienced SAP S/4HANA consultant - Financial accounting

    Københavnsområdet

    KMD A/S

    Senior Test Manager

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    netIP har pr. 19. januar 2026 ansat Jonas Grønbæk Pedersen som Datacenterkonsulent ved netIP's kontor i Herning. Han kommer fra en stilling som Netværksspecialist og Projektleder hos EFIF. Han er uddannet Datatekniker i 2016. Nyt job

    Jonas Grønbæk Pedersen

    netIP

    Renewtech ApS har pr. 1. februar 2026 ansat Kirsten Skriver som Warehouse Team Lead. Hun skal især beskæftige sig med udviklingen af det globale lagersetup hos Renewtech. Hun kommer fra en stilling som Lagerchef hos BORG Automotive Reman A/S. Nyt job

    Kirsten Skriver

    Renewtech ApS

    inciro K/S har pr. 1. februar 2026 ansat Lasse Fletcher som Cloud Consultant. Han skal især beskæftige sig med Governance og struktur i cloud miljøer. Han kommer fra en stilling som IT Tekniker hos CBrain A/S. Han er uddannet datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kunde onboarding, Identitets styring, sikkerhed og IaC. Nyt job

    Lasse Fletcher

    inciro K/S

    Renewtech ApS har pr. 1. februar 2026 ansat Thomas Bjørn Nielsen som E-Commerce Manager. Han skal især beskæftige sig med at optimere og vækste virksomhedens digitale platforme yderligere. Han kommer fra en stilling som Operations Project Manager hos Tiger Media. Han er uddannet fra Aalborg Universitet og har en MSc. i International Virksomhedsøkonomi. Nyt job

    Thomas Bjørn Nielsen

    Renewtech ApS

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 "Du kan jailbreake en F-35. Præcis som en iPhone," siger den hollandske forsvarsminister
    2 Kæmpe-stor routerproducent beskyldes for at muliggøre kinesisk overvågning: Nu skal selskabet forsvare sig i retssag
    3 Nyt regnskab afslører: Så meget scorede Erik Damgaard på salget af Uniconta til tysk kapitalfond
    4 Det bliver ikke bedre: Her finder du den ypperste Windows-pc
    5 Blot 49 dage efter nytår melder en af verdens største alt udsolgt for i år - lukker ordrebøgerne for 2026
    6 Afgørende for offentlig it: Her er de danske kommuners store planer for it-sikkerhed, AI og suverænitet i de kommende år
    7 Regeringen: Sådan har vi sikret, at danskerne ikke kan overvåges gennem Danmarks nye ID-app
    8 Manden bag OpenClaw sagde nej til tilbud fra Zuckerberg og valgte i stedet OpenAI: ”Jeg gør det ikke for pengene, og jeg giver ikke en fuck for dem."

    Se seneste uge