Artikel top billede

Kæmpe 0-dags-hul fundet i Java - din netbank i fare

Java er under angreb igen, og denne gang er det yderst kritisk. Se, hvordan du beskytter dig.

Læs også:

Eksperter er enige: Derfor bør du helt droppe Java

Der er fundet et stort, kritisk sikkerhedshul i Javas JRE, der bliver brugt aktivt mod alle typer Windows-maskiner og potentielt også mod Mac- og Linux-computere.

Det nyfundne hul i Java 7 har fået alle alarmklokker til at ringe hos sikkerhedsfirmaet CSIS Security Group, fordi Java er så udbredt.

Ifølge leverandøren Oracle ligger Java på tre milliarder maskiner verden over.

CSIS Security Group skriver i en sikkerhedsadvarsel markeret med høj prioritet, at hullet allerede nu udnyttes at it-kriminelle, efter it-kriminelle har spredt nyheden via dunkle hjemmeside.

"Vi ser omfattende misbrug fra flere dedikerede og organiserede bander, der systematisk anvender det friske hul, til at plante ransomware, netbank- og informationstyve samt avancerede rootkits og downloadere, der kan installere falske sikkerhedssprodukter og anden uønsket software," skriver CSIS.

Danmark i skudlinjen

Det vil sige, at Danmark er særdeles udsat, da størstedelen af danskere har NemID, som netop benytter Java JRE, når danskerne skal i netbanken eller ind til fortrolige oplysninger på offentlige hjemmesider.

Potentielt kan angriberne overtage styringen af folks computere, stjæle identiteter som eksempelvis Facebook-logins og bruge hullet til at begå indbrud i folks netbanker.

Sådan udnytter kriminelle hullet

Angrebene kan sættes ind, hvis en bruger har været inde på en kompromitteret hjemmeside og klikket på skumle links.

"Alt, det kræver at inficere et system, er, at modtageren vælger at klikke på det inkluderede link og samtidig have Java JRE aktiv på maskinen," skriver CSIS Security Group.

CSIS oplyser til Computerworld, at Java JRE kører som standard i de fleste browsere som Internet Explorer, Chrome og Firefox.

Sikkerhedsselskabet har også fundet flere eksempler på, at koden misbruges til overtage folks computere, når de klikker på links i spammails med alt fra flybilletter fra America Airlines til pakker fra UPS.

Java kan slås fra

"Der er konsensus i den samlede it-sikkerhedsbranche, at dette er en yderst kritisk situation. Ikke alene er der tale om en sårbarhed der misbruges i vidtspredte angreb, men for at gøre ondt værre, så findes der heller ikke en patch/sikkerheds fra Oracle, der lukker problemet," lyder det fra CSIS Group Security.

For at være helt sikker på at undgå at blive angrebet, kan man deaktivere sin Java JRE,

Det gøres eksempelvis i Internet Explorer ved at gå ind under Internetindstillinger" og videre til "Programmer" og "Administrer" for derefter at deaktivere Java.

Chrome-brugere kan skrive "chrome://plugins/" i sin Chromebrowsers adressesvindue, hvorefter man også kan deaktivere sin Java.

Problemet ved at deaktivere sin Java er dog, at man eksempelvis ikke kan logge ind på sin netbank, da NemID benytter Java-appletter, der er afhængige af Java JRE.

"CSIS forventer at Oracle vil mønstre alle tænkelige kræfter og interne resourcer med henblik på at kunne frigive en sikkerhedsopdatering."

"Det står imidlertid helt klart, at en sikkerhedsopdatering vil udsendes udenfor almindelig patch cyklus, eller senest som led i selskabets kvartalsopdateringer, som er sat til at slippes fri på tirsdag d. 15.1. 2013," skriver CSIS.

Læs også:

Eksperter er enige: Derfor bør du helt droppe Java




IT-JOB

Udviklings- og Forenklingsstyrelsen

Lead backend-udvikler til ambitiøst team

Anders Andersen's Rengøring

IT-chef

Bolius Boligejernes Videncenter A/S

Erfaren backend-udvikler til Videncentret Bolius

Danmarks Meteorologiske Institut

Fullstack-udvikler (Genopslag)
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere