Søg

Kritisk sårbarhed i vigtig Java-opdatering fra Oracle

Den nye rettelse, Java 7 Update 7, der skulle lukke en ekstremt farlig sårbarhed i Java 7, viser sig få timer efter frigivelsen at indeholde en ny kritisk sårbarhed.

03. september 2012 kl. 10.11
Artikel top billede

(Foto: Povl D. Rasmussen)

Lucian Constantin Lucian Constantin

Læs også:

Din antivirus snorksover: Blokerer ikke for Java-trussel.

Sådan beskytter du dig imod den nye Java-sårbarhed.

Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Beskyldning: Oracle har kendt farlige Java-huller i månedsvis.

Endelig: Oracle lapper ekstremt farligt hul i Java.

Advarsel: Stort udbrud mod Java er under opsejling.

Computerworld News Service: Sikkerhedsanalytikere fra det polske it-sikkerhedsfirma Security Explorations hævder at have fundet en sårbarhed i den sikkerhedsopdatering til Java 7, som Oracle udgav torsdag.

Sårbarheden kan angiveligt udnyttes til at bryde ud af Javas sandkasse og køre arbitrær kode på det underlæggende styresystem.

Security Explorations sendte fredag en rapportering til Oracle om sårbarheden sammen med proof of concept-kode, oplyser stifter og direktør for it-sikkerhedsfirmaet Adam Gowdiak fredag via e-mail.

Venter ny rettelse fra Oracle

Security Explorations har ikke i sinde at offentliggøre nogen tekniske oplysninger om sårbarheden, før Oracle har lukket den med en ny rettelse, bemærker Gowdiak.

Oracle brød torsdag sit normale udgivelsesmønster for sikkerhedsopdateringer ved at offentliggøre nødopdateringen Java 7 Update 7 for at lukke tre sårbarheder, hvoraf to er blevet aktivt udnyttet siden forrige uge til at inficere computere med malware.

Herudover løser Java 7 Update 7 et "problem med sikkerheden i dybden," som ifølge Oracle ikke kan udnyttes direkte, men som kan forværre omfanget af andre sårbarheder.

Rettelsen af dette problem med sikkerheden i dybden, som Gowdiak kalder en "angrebsvektor," river tæppet væk under alle de proof of concept-koder til omgåelse af sikkerheden i Java Virtual Machine, som det polske it-sikkerhedsfirma tidligere har rapporteret til Oracle.

Security Explorations har tidligere på året ifølge Gowdiak rapporteret 29 sårbarheder i Java 7 til Oracle - heriblandt de to, der nu aktivt udnyttes af angribere.

16 proof of cencept-angreb

Bilagt disse rapporteringer var i alt 16 proof of concept-angreb, der ved hjælp af kombinationer af sårbarhederne var i stand til fuldt ud at omgå Javas sandkasse og køre arbitrær kode i det underliggende styresystem.

At metoderne getField og getMethod er blevet fjernet fra implementeringen af klassen sun.awt.SunToolkit i Java 7 Update 7 gør alle Security Explorations' proof of concept-angreb ubrugelige, forklarer Gowdiak.

Dette er dog kun tilfældet, fordi angrebsvektoren er blevet fjernet, og altså ikke fordi alle de sårbarheder, som proof of concept-angrebene udnyttede, er blevet rettet, fremhæver Gowdiak.

Sådan kan den nye sårbarhed misbruges på din computer

Den nye sårbarhed, som Security Explorations har opdaget i Java 7 Update 7, kan i kombination med nogle af de sårbarheder, som Oracle endnu ikke har rettet, udnyttes til igen at opnå komplet omgåelse af Java Virtual Machine-sandkassen.

"Da vi observerede, at vores komplette omgåelse af Java-sandkassen efter opdateringen ikke længere fungerede, tog vi et nyt kig på vores proof of concept-koder og begyndte at overveje mulige metoder til at knække denne seneste Java-opdatering," fortæller Gowdiak.

"Der opstod en ny idé, der blev efterprøvet, og det viste sig, at det fungerede."

Ingen kommentarer fra Oracle

Gowdiak er ikke klar over, hvornår Oracle har tænkt sig at lukke de resterende sårbarheder, som Security Explorations rapporterede i april, eller den nye som it-sikkerhedsfirmaet rapporterede fredag.

Det står heller ikke klart, om Oracle stadig vil udgive en ny sikkerhedsopdatering af Java i oktober, som tidligere planlagt. Oracle har afvist at kommentere.

Sikkerhedseksperter advarer jævnligt om, at hvis softwareleverandørerne tager for lang tid om at rette rapporterede sårbarheder, så er der øget risiko for, at datakriminelle opdager disse sårbarheder i mellemtiden, hvis de da ikke allerede kender til dem.

Det er sket ofte, at forskellige sikkerhedsanalytikere og hackere uafhængigt af hinanden har opdaget de samme sårbarheder i et givet produkt, hvilket tilsyneladende også er sket i tilfældet med de to sårbarheder i Java 7, der aktivt udnyttes, og som lukkes af Java 7 Update 7.

"Det kan aldrig udelukkes, at flere uafhængigt af hinanden opdager de samme ting," siger Gowdiak.

"Dette specifikke problem (den nye sårbarhed, red.) er dog sandsynligvis lidt sværere at opdage."

At dømme ud fra Security Explorations' analytikeres resultater med hensyn til at finde Java-sårbarheder, så er sikkerheden bedre i Java 6 end i Java 7.

"Java 7 har overraskende været meget lettere for os at knække," fortæller Gowdiak.

"I Java 6 er det ikke lykkedes os at opnå en komplet kompromittering af sandkassen på nær i kraft af den sårbarhed, der blev opdaget i Apple Quicktime."

Gowdiak understreger den samme pointe, som mange andre sikkerhedseksperter tidligere har gjort: Hvis du ikke har brug for Java, bør du fjerne softwaren fra dit system.
Læs også:

Din antivirus snorksover: Blokerer ikke for Java-trussel.

Sådan beskytter du dig imod den nye Java-sårbarhed.

Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Beskyldning: Oracle har kendt farlige Java-huller i månedsvis.

Endelig: Oracle lapper ekstremt farligt hul i Java.

Advarsel: Stort udbrud mod Java er under opsejling.

Oversat af Thomas Bøndergaard

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Roundtable: Fra legacy til AI – de strategiske valg for digitale ledere

    Digital transformation | København

    Roundtable: Fra legacy til AI – de strategiske valg for digitale ledere

    Legacy-systemer bremser mange AI-ambitioner. Digitale ledere skal vælge platform, tempo og arkitektur. Computerworld samler CIO’er og CTO’er til lukket roundtable om vejen fra legacy til AI-parat forretning. Få perspektiver fra COWI og del...

    Cyber Briefing: AI kan udnytte dine VPN‑svagheder og lække dine data på sekunder

    Sikkerhed | Online

    Cyber Briefing: AI kan udnytte dine VPN‑svagheder og lække dine data på sekunder

    AI-agenter arbejder konstant og i maskinhastighed. Klassiske VPN-modeller mister overblik, kontrol og sporbarhed. Hør hvordan adgang, handlinger og automatisering sikres i en AI-drevet virkelighed. Tilmeld dig nu

    Executive Conversations: Kina, Trump og AI-ledelse

    Digital transformation | København

    Executive Conversations: Kina, Trump og AI-ledelse

    Kina, USA og AI flytter magt og markeder. Geopolitik rammer leverandørkæder, chips, data og standarder. Lær at koble global risiko med konkret it-ledelse. Få styr på governance, sikkerhed og compliance i AI. Deltag og styrk din handlekraft.

    Se alle vores events inden for it

    TV2

    Erfaren Specialist til Cloud- og Softwareudviklingssikkerhed i TV 2

    Fyn

    Netcompany A/S

    Data Management Consultant

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Nye kolleger søges til IT Stab i Forsvaret

    Københavnsområdet

    Capgemini Danmark A/S

    SAP S/4HANA Business Controlling

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Thomas Nakai, Product Owner hos Carlsberg, har pr. 27. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Thomas Nakai

    Carlsberg

    Immeo har pr. 1. marts 2026 ansat Theo Lyngaa Hansen som Consultant. Han kommer fra en stilling som Data Manager hos IDA. Han er uddannet i Business Administration & Data Science. Nyt job

    Theo Lyngaa Hansen

    Immeo

    netIP har pr. 20. januar 2026 ansat Magnus Futtrup Lynggaard som IT Supporterelev ved netIP's kontor i Herning. Han skal især beskæftige sig med relevante opgaver i ServiceDesk. Han er uddannet med en kontoruddannelse med speciale i administration. Nyt job

    Magnus Futtrup Lynggaard

    netIP

    Khaled Zamzam, er pr. 1. marts 2026 ansat hos Immeo som Consultant. Han er nyuddannet i Informationsteknologi fra DTU. Nyt job

    Khaled Zamzam

    Immeo

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Martin er brændt ud efter mange år i den danske it-branche: Nu sælger han huset og kører ud i det blå med hunden Murphy
    2 Test: Lenovo sover i timen med sin lille og vågne kontorkriger
    3 Nørgaard: Jeg vil ikke have sådan noget svineri
    4 Lønnen stiger stabilt: Så meget får de danske it-driftfolk i månedsløn
    5 Sådan ser fremtidens arbejdsplads ud ifølge Microsoft: Snart slipper du helt for at læse e-mails og gå til møder
    6 Nyt kæmpe datacenter på vej i Esbjerg: Klar til at investere 15 milliarder
    7 Finland dropper AWS til centralt it-system: Ministerium trækker i nødbremsen
    8 Prisen på dit internet kan eksplodere: Norlys lægger op til 85 procent stigning på fibernet

    Se seneste uge