Artikel top billede

Ekstremt farlig sårbarhed i Java udnyttes af hackere

En nul-dagssårbarhed i Java 7 udnyttes aktivt af hackere, advarer sikkerhedseksperter.

Læs også:

Ny hacker-teknik: Spreder sig med lynets hast

Computerworld News Service: En nu-dagssårbarhed i Java 7 udnyttes i øjeblikket af hackere.

Denne sårbarhed, der ikke findes en rettelse af endnu, kan udnyttes via enhver browser på ethvert styresystem, hvad enten det er Windows, Linux eller Mac OS X, så længe der er installeret Java.

Det forklarer Tod Beardsley, der er engineering manager for open source-værktøjet til penetrations-test, Metasploit, der både anvendes af legitime sikkerhedsanalytikere og af datakriminelle.

David Maynor, der er teknologidirektør for Errata Security, bekræfter, at Metasploit-angrebet - som blev offentliggjort mindre end 24 timer efter, fejlen blev opdaget - er effektivt mod Java 7 på Mac OS X Mountain Lion.

"Denne exploit fungerer på OS X, hvis du kører 1.7 Java Runtime Environment," skriver Maynor i en opdatering til et tidligere blogindlæg.

JRE 1.7 inkluderer den seneste version af Java 7, der kaldes Update 6, som blev offentliggjort tidligere på måneden.

Det er lykkes Maynor at udnytte sårbarheden med Metasploit-koden både i Firefox 14 og Safari 6 på Apples seneste Mac-styresystem, OS X 10.8 Mountain Lion.

Flere trusler på vej

Selvom de angreb, der lige nu er i omløb, udelukkende har været mod Windows, så er der altså en reel risiko for, at Macs også vil blive ramt.

"Endnu mere bekymrende er, at der er risiko for, at denne sårbarhed vil blive udnyttet af andre malware-udviklere i nær fremtid," skriver Intego, der sælger antivirussoftware til Mac, i et blogindlæg.

"Java-applets har været en del af installationsprocessen ved stort set alle malware-angreb på OS X i år."

Sådan undgår du at blive ramt

Den største malware-kampagne mod Mac hidtil involverede også Java.

Flashback, der udnyttede en fejl i Java, der til at begynde med ikke var blevet lukket af Apple, inficerede hundredtusindvis af Macs fra først i april 2012.

Apple stoppede med at inkludere Java i OS X fra og med udgivelsen af Lion sidste år. Heller ikke Mountain Lion inkluderede Java.

Det er dog stadig muligt som bruger af et af de to sidste Mac-styresystemer at have Java installeret. Når en browser møder en Java-applet, anmoder den brugeren om tilladelse til at downloade softwaren fra Oracle.

Folk med de ældre Mac-styresystemer Snow Leopard (fra 2009) og Leopard (fra 2007) er endnu mere sårbare overfor sådanne angreb, da Java var installeret på deres styresystemer som standard.

Apple understøtter stadig Java 6, men det er Oracle, der er ansvarlig for at rette Java 7.

"Sårbarheden er ikke i Java 6, men i ny funktionalitet i Java 7," bemærker Beardsley.

Beardsley kalder denne fejl for "super farlig."

Han bemærker, at exploitet fungerer som et drive-by-angreb, hvilket betyder, at angribere kan kompromittere en Mac eller en anden pc ved blot at narre brugeren til at besøge et skadeligt eller tidligere kompromitteret website, der herefter serverer angrebskoden.

Beardsley anbefaler, at man som bruger slår Java helt fra, indtil Oracle udsender en rettelse. Det råd bakkes op af stort set samtlige sikkerhedseksperter, der har kommenteret på denne nyfundne sårbarhed.

Ejere af Macs kan slå Java fra via deres browsere eller helt fjerne softwaren fra deres maskiner.

Oversat af Thomas Bøndergaard

Læs også:

Ny hacker-teknik: Spreder sig med lynets hast




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere