Artikel top billede

Sådan beskytter du dig imod den nye Java-sårbarhed

Se hvordan du kan beskytte din computer mod at blive kompromitteret på grund af den nye sårbarhed i Java.

Læs også: Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Computerworld News Service: Der findes ifølge sikkerheds-eksperter adskillige måder, som man kan anvende til at beskytte sin computer mod angreb via en ny og endnu ikke rettet sårbarhed i alle versioner af Java Runtime Environment 7.

Du kan læse mere om sårbarheden her.

De fleste af disse forslag har visse ulemper eller er kun relevante for bestemte systemkonfigurationer eller miljøer.

I fraværet af en officiel rettelse fra Oracle er det dog håbet, at brugerne vil kunne anvende én eller en kombination af dem til at reducere risikoen for, at deres systemer kompromitteres.

Sårbarhed udnyttes aktivt

Analytikere fra sikkerhedsfirmaet FireEye offentliggjorde opdagelsen af den nye sårbarhed i Java søndag og oplyste, at den aktivt udnyttes i et begrænset antal angreb.

Dagen efter dukkede der en fungerende proof of concept-angrebskode op på nettet, som blev integreret i Metasploit, der er et open source-sikkerhedsværktøj til test af netværk, som bruges af mange penetrations-testere.

Den nye sårbarhed anses for at være ekstremt farlig og kan udnyttes til at køre skadelig kode på et system alene ved at brugeren besøger en skadelig webside på en browser, hvor Java-plugin'et er slået til.

Du bør afinstallere Java

Den eneste anbefaling, der går igen blandt de fleste sikkerhedseksperter, med hensyn til hvordan brugerne selv kan beskytte deres systemer fra angreb via denne sårbarhed, er at afinstallere Java eller i det mindste deaktivere Java-plugin'et i deres browsere.

Hvordan man gør det, kan man læse detaljerede instruktioner om i en sikkerhedsmeddelelse, offentliggjort af United States Computer Emergency Readiness Team (US-CERT) mandag.

Dette er sandsynligvis den mest effektive metode til at minimere risikoen associeret med Java, både hvad angår den nye sårbarhed og eventuelle sårbarheder, der opdages i fremtiden.

Denne tilgang har dog den ulempe, at den ikke er praktisk gennemførlig i visse miljøer. 

Det gælder ikke mindst professionelle miljøer, hvor Java-baserede webapplikationer er afgørende for driften.

"De fleste forbrugere har stort set aldrig brug for Java, men mange erhvervsbrugere har brug for Java til ting såsom GoTo Meeting og WebEx," forklarer Chester Wisniewski, der er sikkerhedsrådgiver hos leverandøren af antivirussoftware Sophos.

"I et forretningsmiljø kan man være i stand til at kontrollere JavaW.exe og sørge for, at den kun kører bestemte applets eller opretter forbindelse til kendte IP-adresser til services, man har brug for, og som kræver Java."

Sådan gør du med IE, Chrome og Firefox

En anden løsning foreslås af Wolfgang Kandek, der er teknologidirektør hos sikkerhedsleverandøren Qualys.

Den består af, at man anvender den zone-baserede sikkerhedsmekanisme i Internet Explorer til at begrænse, hvilke websites, der har tilladelse til at indlæse Java-applets.

Som bruger kan man forbyde brugen af Java i Internet-zonen ved at indstille Windows-registernøglen 1C00 til 0 under HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 og kun tillade Java på hvidlistede websites på listen over såkaldt pålidelige websteder, der er tillid til, forklarer Kandek mandag i et blogindlæg.

Brugere af Google Chrome og Mozilla Firefox kan opnå lignende resultater ved at indstille deres browsere sådan, at de som standard blokerer plugin-baseret indhold fra at blive indlæst, indtil brugeren eventuelt godkender indlæsningen.

Denne tilgang gør det også muligt at hvidliste websites.

Understøttes i Chrome

Chrome har længe understøttet denne funktion og det er let at slå den til under Beskyttelse af personlige oplysninger i de avancerede indstillinger.

I Firefox er funktionen dog stadig under udvikling og kan kun aktiveres ved, at man løfter motorhjelmen på browseren og går ind i about:config, hvor man skal ændre værdien "false" til "true" for indstillingen plugins.click_to_play.

Det kan ikke anbefales til almindelige brugere.

Det kan derimod den populære sikkerhedsudvidelse NoScript, der sørger for, at ethvert plugin-baseret indhold aktivt skal godkendes af brugeren, før det indlæses.

Denne udvidelse og andre med lignende funktionalitet kan downloades fra Mozillas store samling af tilføjelser til Firefox.

Brugerens ansvar

Denne tilgang med individuel godkendelse af indhold sætter en stopper for, at sårbarheden automatisk udnyttes, men den forhindrer ikke brugerne i manuelt at godkende indlæsningen af skadelige applets, når de anmodes om det.

Derfor lander opgaven med at vurdere risikoen i sidste ende på brugerens skuldre.

En anden brugerafhængig måde at reducere risikoen for at blive offer for en skadelig Java-applet er at anvende én browser, hvor Java er deaktiveret, til generel brug, men anvende en anden, hvor Java aktiveret, udelukkende til at få adgang til de Java-baserede webapplikationer, man har tillid til.

En sådan tilgang kan muligvis være svær at håndhæve på et virksomhedsnetværk.

Den kan dog være nyttig for sikkerhedsbevidste brugere, der jævnligt har brug for at anvende bestemte webbaserede Java-applikationer fra deres personlige computere.

Læs også: Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere