Sådan beskytter du dig imod den nye Java-sårbarhed

Annonceindlæg tema

AI i bevægelse - forretning, agenter og potentiale

I dette særtema om aspekter af AI ser vi på skiftet fra sprogmodeller til AI-agenter, og hvordan virksomheder kan navigere i spændet mellem teknologisk hastighed og behovet for menneskelig kontrol.

Læs også: Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Computerworld News Service: Der findes ifølge sikkerheds-eksperter adskillige måder, som man kan anvende til at beskytte sin computer mod angreb via en ny og endnu ikke rettet sårbarhed i alle versioner af Java Runtime Environment 7.

Du kan læse mere om sårbarheden her.

De fleste af disse forslag har visse ulemper eller er kun relevante for bestemte systemkonfigurationer eller miljøer.

I fraværet af en officiel rettelse fra Oracle er det dog håbet, at brugerne vil kunne anvende én eller en kombination af dem til at reducere risikoen for, at deres systemer kompromitteres.

Sårbarhed udnyttes aktivt

Analytikere fra sikkerhedsfirmaet FireEye offentliggjorde opdagelsen af den nye sårbarhed i Java søndag og oplyste, at den aktivt udnyttes i et begrænset antal angreb.

Dagen efter dukkede der en fungerende proof of concept-angrebskode op på nettet, som blev integreret i Metasploit, der er et open source-sikkerhedsværktøj til test af netværk, som bruges af mange penetrations-testere.

Den nye sårbarhed anses for at være ekstremt farlig og kan udnyttes til at køre skadelig kode på et system alene ved at brugeren besøger en skadelig webside på en browser, hvor Java-plugin'et er slået til.

Du bør afinstallere Java

Den eneste anbefaling, der går igen blandt de fleste sikkerhedseksperter, med hensyn til hvordan brugerne selv kan beskytte deres systemer fra angreb via denne sårbarhed, er at afinstallere Java eller i det mindste deaktivere Java-plugin'et i deres browsere.

Hvordan man gør det, kan man læse detaljerede instruktioner om i en sikkerhedsmeddelelse, offentliggjort af United States Computer Emergency Readiness Team (US-CERT) mandag.

Dette er sandsynligvis den mest effektive metode til at minimere risikoen associeret med Java, både hvad angår den nye sårbarhed og eventuelle sårbarheder, der opdages i fremtiden.

Denne tilgang har dog den ulempe, at den ikke er praktisk gennemførlig i visse miljøer. 

Det gælder ikke mindst professionelle miljøer, hvor Java-baserede webapplikationer er afgørende for driften.

"De fleste forbrugere har stort set aldrig brug for Java, men mange erhvervsbrugere har brug for Java til ting såsom GoTo Meeting og WebEx," forklarer Chester Wisniewski, der er sikkerhedsrådgiver hos leverandøren af antivirussoftware Sophos.

"I et forretningsmiljø kan man være i stand til at kontrollere JavaW.exe og sørge for, at den kun kører bestemte applets eller opretter forbindelse til kendte IP-adresser til services, man har brug for, og som kræver Java."

Sådan gør du med IE, Chrome og Firefox

En anden løsning foreslås af Wolfgang Kandek, der er teknologidirektør hos sikkerhedsleverandøren Qualys.

Den består af, at man anvender den zone-baserede sikkerhedsmekanisme i Internet Explorer til at begrænse, hvilke websites, der har tilladelse til at indlæse Java-applets.

Som bruger kan man forbyde brugen af Java i Internet-zonen ved at indstille Windows-registernøglen 1C00 til 0 under HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 og kun tillade Java på hvidlistede websites på listen over såkaldt pålidelige websteder, der er tillid til, forklarer Kandek mandag i et blogindlæg.

Brugere af Google Chrome og Mozilla Firefox kan opnå lignende resultater ved at indstille deres browsere sådan, at de som standard blokerer plugin-baseret indhold fra at blive indlæst, indtil brugeren eventuelt godkender indlæsningen.

Denne tilgang gør det også muligt at hvidliste websites.

Understøttes i Chrome

Chrome har længe understøttet denne funktion og det er let at slå den til under Beskyttelse af personlige oplysninger i de avancerede indstillinger.

I Firefox er funktionen dog stadig under udvikling og kan kun aktiveres ved, at man løfter motorhjelmen på browseren og går ind i about:config, hvor man skal ændre værdien "false" til "true" for indstillingen plugins.click_to_play.

Det kan ikke anbefales til almindelige brugere.

Det kan derimod den populære sikkerhedsudvidelse NoScript, der sørger for, at ethvert plugin-baseret indhold aktivt skal godkendes af brugeren, før det indlæses.

Denne udvidelse og andre med lignende funktionalitet kan downloades fra Mozillas store samling af tilføjelser til Firefox.

Brugerens ansvar

Denne tilgang med individuel godkendelse af indhold sætter en stopper for, at sårbarheden automatisk udnyttes, men den forhindrer ikke brugerne i manuelt at godkende indlæsningen af skadelige applets, når de anmodes om det.

Derfor lander opgaven med at vurdere risikoen i sidste ende på brugerens skuldre.

En anden brugerafhængig måde at reducere risikoen for at blive offer for en skadelig Java-applet er at anvende én browser, hvor Java er deaktiveret, til generel brug, men anvende en anden, hvor Java aktiveret, udelukkende til at få adgang til de Java-baserede webapplikationer, man har tillid til.

En sådan tilgang kan muligvis være svær at håndhæve på et virksomhedsnetværk.

Den kan dog være nyttig for sikkerhedsbevidste brugere, der jævnligt har brug for at anvende bestemte webbaserede Java-applikationer fra deres personlige computere.

Læs også: Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Oversat af Thomas Bøndergaard