Din antivirus snorksover: Blokerer ikke for Java-trussel.
Sådan beskytter du dig imod den nye Java-sårbarhed.
Ekstremt farlig sårbarhed i Java udnyttes af hackere.
Beskyldning: Oracle har kendt farlige Java-huller i månedsvis.
Endelig: Oracle lapper ekstremt farligt hul i Java.
Advarsel: Stort udbrud mod Java er under opsejling.
Computerworld News Service: Sikkerhedsanalytikere fra det polske it-sikkerhedsfirma Security Explorations hævder at have fundet en sårbarhed i den sikkerhedsopdatering til Java 7, som Oracle udgav torsdag.
Sårbarheden kan angiveligt udnyttes til at bryde ud af Javas sandkasse og køre arbitrær kode på det underlæggende styresystem.
Security Explorations sendte fredag en rapportering til Oracle om sårbarheden sammen med proof of concept-kode, oplyser stifter og direktør for it-sikkerhedsfirmaet Adam Gowdiak fredag via e-mail.
Venter ny rettelse fra Oracle
Security Explorations har ikke i sinde at offentliggøre nogen tekniske oplysninger om sårbarheden, før Oracle har lukket den med en ny rettelse, bemærker Gowdiak.
Oracle brød torsdag sit normale udgivelsesmønster for sikkerhedsopdateringer ved at offentliggøre nødopdateringen Java 7 Update 7 for at lukke tre sårbarheder, hvoraf to er blevet aktivt udnyttet siden forrige uge til at inficere computere med malware.
Herudover løser Java 7 Update 7 et "problem med sikkerheden i dybden," som ifølge Oracle ikke kan udnyttes direkte, men som kan forværre omfanget af andre sårbarheder.
Rettelsen af dette problem med sikkerheden i dybden, som Gowdiak kalder en "angrebsvektor," river tæppet væk under alle de proof of concept-koder til omgåelse af sikkerheden i Java Virtual Machine, som det polske it-sikkerhedsfirma tidligere har rapporteret til Oracle.
Security Explorations har tidligere på året ifølge Gowdiak rapporteret 29 sårbarheder i Java 7 til Oracle - heriblandt de to, der nu aktivt udnyttes af angribere.
16 proof of cencept-angreb
Bilagt disse rapporteringer var i alt 16 proof of concept-angreb, der ved hjælp af kombinationer af sårbarhederne var i stand til fuldt ud at omgå Javas sandkasse og køre arbitrær kode i det underliggende styresystem.
At metoderne getField og getMethod er blevet fjernet fra implementeringen af klassen sun.awt.SunToolkit i Java 7 Update 7 gør alle Security Explorations' proof of concept-angreb ubrugelige, forklarer Gowdiak.
Dette er dog kun tilfældet, fordi angrebsvektoren er blevet fjernet, og altså ikke fordi alle de sårbarheder, som proof of concept-angrebene udnyttede, er blevet rettet, fremhæver Gowdiak.
Artiklen fortsætter på næste side...
