Side 2 af 2 Fortsat fra: Kæmpe 0-dags-hul fundet i Java - din netbank i fare

Sådan udnytter kriminelle hullet

Angrebene kan sættes ind, hvis en bruger har været inde på en kompromitteret hjemmeside og klikket på skumle links.

"Alt, det kræver at inficere et system, er, at modtageren vælger at klikke på det inkluderede link og samtidig have Java JRE aktiv på maskinen," skriver CSIS Security Group.

CSIS oplyser til Computerworld, at Java JRE kører som standard i de fleste browsere som Internet Explorer, Chrome og Firefox.

Sikkerhedsselskabet har også fundet flere eksempler på, at koden misbruges til overtage folks computere, når de klikker på links i spammails med alt fra flybilletter fra America Airlines til pakker fra UPS.

Java kan slås fra
"Der er konsensus i den samlede it-sikkerhedsbranche, at dette er en yderst kritisk situation. Ikke alene er der tale om en sårbarhed der misbruges i vidtspredte angreb, men for at gøre ondt værre, så findes der heller ikke en patch/sikkerheds fra Oracle, der lukker problemet," lyder det fra CSIS Group Security.

For at være helt sikker på at undgå at blive angrebet, kan man deaktivere sin Java JRE,

Det gøres eksempelvis i Internet Explorer ved at gå ind under Internetindstillinger" og videre til "Programmer" og "Administrer" for derefter at deaktivere Java.

Chrome-brugere kan skrive "chrome://plugins/" i sin Chromebrowsers adressesvindue, hvorefter man også kan deaktivere sin Java.

Problemet ved at deaktivere sin Java er dog, at man eksempelvis ikke kan logge ind på sin netbank, da NemID benytter Java-appletter, der er afhængige af Java JRE.

"CSIS forventer at Oracle vil mønstre alle tænkelige kræfter og interne resourcer med henblik på at kunne frigive en sikkerhedsopdatering."

"Det står imidlertid helt klart, at en sikkerhedsopdatering vil udsendes udenfor almindelig patch cyklus, eller senest som led i selskabets kvartalsopdateringer, som er sat til at slippes fri på tirsdag d. 15.1. 2013," skriver CSIS.

Læs også:

Eksperter er enige: Derfor bør du helt droppe Java



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




CIO
CIO i Energinet.dk: Sådan får vi bedre it-sikkerhed hos danske energiselskaber
Interview: Morten Gade Christensen, CIO i Energinet.dk og Årets CIO i Danmark i 2016, har en klar idé om, hvordan den danske energisektor kan få et bedre sikkerhedsniveau.
Comon
25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"
Fakta, Netto, Aldi, Lidl, Lego og flere andre varemærker bliver lige nu udnyttet i forbindelse med kuponsvindel på Facebook, og danskerne klikker i hobetal. Læs hvad der sker, hvis du klikker.
Channelworld
Dansk hosting-direktør: På disse tre områder banker danske hosting-firmaer Microsoft og Amazon af banen
Den danske hostingbranche er godt polstret til at modstå konkurrencen fra globale cloud-spillere som Amazon og Microsoft. Her er tre grunde til, at danske hostingudbydere ikke blæser omkuld i konkurrencen.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.