Kritisk sårbarhed i vigtig Java-opdatering fra Oracle

Den nye rettelse, Java 7 Update 7, der skulle lukke en ekstremt farlig sårbarhed i Java 7, viser sig få timer efter frigivelsen at indeholde en ny kritisk sårbarhed.

Læs også:

Din antivirus snorksover: Blokerer ikke for Java-trussel.

Sådan beskytter du dig imod den nye Java-sårbarhed.

Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Beskyldning: Oracle har kendt farlige Java-huller i månedsvis.

Endelig: Oracle lapper ekstremt farligt hul i Java.

Advarsel: Stort udbrud mod Java er under opsejling.


Computerworld News Service: Sikkerhedsanalytikere fra det polske it-sikkerhedsfirma Security Explorations hævder at have fundet en sårbarhed i den sikkerhedsopdatering til Java 7, som Oracle udgav torsdag.

Sårbarheden kan angiveligt udnyttes til at bryde ud af Javas sandkasse og køre arbitrær kode på det underlæggende styresystem.

Security Explorations sendte fredag en rapportering til Oracle om sårbarheden sammen med proof of concept-kode, oplyser stifter og direktør for it-sikkerhedsfirmaet Adam Gowdiak fredag via e-mail.

Venter ny rettelse fra Oracle
Security Explorations har ikke i sinde at offentliggøre nogen tekniske oplysninger om sårbarheden, før Oracle har lukket den med en ny rettelse, bemærker Gowdiak.

Oracle brød torsdag sit normale udgivelsesmønster for sikkerhedsopdateringer ved at offentliggøre nødopdateringen Java 7 Update 7 for at lukke tre sårbarheder, hvoraf to er blevet aktivt udnyttet siden forrige uge til at inficere computere med malware.

Herudover løser Java 7 Update 7 et "problem med sikkerheden i dybden," som ifølge Oracle ikke kan udnyttes direkte, men som kan forværre omfanget af andre sårbarheder.

Rettelsen af dette problem med sikkerheden i dybden, som Gowdiak kalder en "angrebsvektor," river tæppet væk under alle de proof of concept-koder til omgåelse af sikkerheden i Java Virtual Machine, som det polske it-sikkerhedsfirma tidligere har rapporteret til Oracle.

Security Explorations har tidligere på året ifølge Gowdiak rapporteret 29 sårbarheder i Java 7 til Oracle - heriblandt de to, der nu aktivt udnyttes af angribere.

16 proof of cencept-angreb
Bilagt disse rapporteringer var i alt 16 proof of concept-angreb, der ved hjælp af kombinationer af sårbarhederne var i stand til fuldt ud at omgå Javas sandkasse og køre arbitrær kode i det underliggende styresystem.

At metoderne getField og getMethod er blevet fjernet fra implementeringen af klassen sun.awt.SunToolkit i Java 7 Update 7 gør alle Security Explorations' proof of concept-angreb ubrugelige, forklarer Gowdiak.

Dette er dog kun tilfældet, fordi angrebsvektoren er blevet fjernet, og altså ikke fordi alle de sårbarheder, som proof of concept-angrebene udnyttede, er blevet rettet, fremhæver Gowdiak.

Artiklen fortsætter på næste side...




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Udvikling og salg af software til integration, kommunikation og e-handel samt ERP med fokus på leasing, detailhandlen, digitale abonnementer og dagblade/magasiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategiske it-sikkerhedsdage 2021

God it-sikkerhed er blevet en strategisk disciplin der kombinerer ledelse, adfærd, processer og teknologi. Men hvor lægger du niveauet? Hvad er vigtigt for forretningen og den drift? Hvad er knapt så vigtigt? Hvordan indtænker du it-sikkerheds-indsatsen strategisk? Hvad gør du, når skaden er sket? Bliv klogere på ”Strategiske it-sikkerhedsdage 2021: Trusler, tendenser og værktøjer”.

26. januar 2021 | Læs mere


Fuel your IT with the best-kept secret in IBM

It takes massive computing power to accurately calculate weather forecasts – and to secure that people and businesses are able to access detailed information about whether it is going to rain, shine, storm, or snow. In this seminar, you will have the chance to hear the British Met Office describe how they do exactly that.

28. januar 2021 | Læs mere


Sandheden om Schrems II – erhvervslivets nye Cuba-krise

Konsekvenserne af Schrems II kan meget vel gå hen og blive en af de største udfordringer for danske virksomheder i 2021. Så tjek ind på denne onlinebriefing, hvor den hemmelige Schrems II gæst, ComplyCloud og Datatilsynet giver dig indsigt i, hvad dommen i virkeligheden handler om, og hvilke menneskelige hensyn der ligger bag.

29. januar 2021 | Læs mere






Premium
Test: Kæmpestort gaming-headset er perfekt til dine lange Teams-møder - men har også nogle besværligheder
Længe før vi andre blev slået hjem til hjemmekontorets endeløse webmøder har gamerne gennemskuet behovet for komfortabelt grej. Så vi tog danske EPOS top gamingheadset med på arbejde. Læs testen her.
Computerworld
Biden sender skjult besked til kode-folket: "Hvis du læser dette, har vi brug for din hjælp”
En stående invitation er blevet opdaget i kildekoden på Det Hvide Hus' hjemmeside. Men den er kun til de eksperter, der selv kan finde den.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
White paper
Overser du muligheder for at optimere din Dynamics-investering?
Der er omfattende og ofte oversete muligheder for at understøtte centrale forretningsprocesser med Dynamics 365 Finance & Operations. For eksempel i form af fuld EDI-integration, som optimerer logistik og forsyning. Eller ved at automatisere håndteringen af konsignation eller centrale processer vedrørende elektronisk dokumentflow og dropshipping. Læs mere i dette whitepaper, der også går i dybden med fire konkrete cases.