0-dagssårbarhed rammer Java - Oracle knokler

Koden til Oracles Java-software er blevet ramt af en sårbarhed, der endnu ikke kan lukkes med en opdatering. Oracle knokler på en løsning, men der er ingen grund til panik i Danmark.

Sikkerhedsfirmaet TrendMicro har identificeret en hidtil ukendt sårbarhed i JavaJRE, hvor der endnu ikke er udviklet en sikkerhedslap.

Det, der også kaldes for en 0-dagssårbarhed.

Fra sikkerhedsfirmaet CSIS lyder det, at sårbarheden allerede anvendes aktivt af en APT (advanced persistent threat)-gruppe, som traditionelt udvælger mål i vesten, og tidligere er gået efter større organisationer som NATO og EU samt mål i USA.

APT-truslen anses også for at være et af de største sikkerhedsproblemer i Danmark lige nu.

Det kan du læse mere om her: Her er den største sikkerhedstrussel mod danske virksomheder lige nu: Har du hørt om APT?

Oracle, der står for vedligeholdelse af koden til Java, har erkendt problemet og fortæller, at der knokles på at rette det.

Kun i den nye version af Java
Sårbarheden er registreret i den nyeste udgave af JavaJRE i version 1.8.0.45, men den er ikke registreret i de ældre versioner som 1.6 og 1.7.

Det betyder dog ikke, at man bare kan nedgradere sin Java-installation, fordi de ældre versioner er sårbare overfor andre kritiske svagheder, der er rettet i den nye version.

Foreløbig skal vi dog ikke være bekymrede i Danmark.

"Vi har ingen indikation af, at der er mål i Danmark, som er berørt af denne kampagne. Af samme grund ser det ud til, at sårbarheden foreløbig kun anvendes i målrettede spear phishing-angreb," oplyser CSIS.

Den kode, der misbruger sårbarheden i JavaJRE, installerer en bagdør på sårbare systemer - hvilket i øjeblikket vil sige alle Java-installationer, da der ikke er udviklet en patch af Oracle.

"I første fase afvikles kode i hukommelsen, som installerer en dropper, der forbinder sig til en stribe domæner, der henter hovedkomponenten. Den binder så maskinen ind i et botnet," forklarer CSIS.

0-dagssårbarheden findes i både Linux- og Windows-versionerne.

Angrebene foregår gennem en mail, der har et indlejret link, som ofret skal lokkes til at klikke på.

Løsningen på problemet er derfor at undgå at gøre netop det, indtil Oracle kommer med en sikkerhedslap.

Læs også:
Stort data-læk afslører hemmelige it-sårbarheder

Så hurtigt og nemt kan din computers BIOS hackes

Sådan kommer du i gang med at forsikre dig mod hacker-angreb


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TDCH A/S
Skal din virksomhed med i Guiden? Klik her

Kommende events
EU persondataforordningen: Få styr på de kritiske aftaler og undgå kostbare fejl

Aftalerne mellem din virksomhed og eksterne databehandlerne er ikke blot essentielle for en succesfuld implementering af Persondataforordningen – men styrer også ansvar og aftaler mellem dig og dine partnere. På denne halvdagskonference får du styr på de vigtigste principper og aftaletyper, så du styrer uden om faldgruberne.

24. maj 2018 | Læs mere


Digitale og mobile medarbejdere: De bedste værktøjer og løsninger til at gentænke din forretning

Hør om udfordringerne med sikkerheden i de mobile løsninger og hvordan du håndterer dem - og lær mere om hvordan interne business apps kan skabe mere effektive arbejdsgange i din virksomhed.

29. maj 2018 | Læs mere


Nyt trusselsbillede kræver dyb indsigt i sikkerhedsprodukter

På Kaspersky Open Day får du praktisk viden om, hvordan du som Kaspersky-partner sikrer dine kunders Office 365-mail, beskytter dem mod ransomware – og optimerer indtjening og vækst ved at betjene flere og større kunder på én gang.

30. maj 2018 | Læs mere






Premium
CIO Kristian Hjort-Madsen har spredt PFA's it ud i alle mulige retninger for at få mere kog i gryden: "Jeg tror simpelthen ikke på, at vi it-folk tænker visionært nok"
Nomineret til Årets CIO 2018: Hos PFA skal it-chefen ikke forretningsudvikle. Han skal sørge for, at hele organisationen tænker digitalt fra starten. CIO Kristian Hjort-Madsen har nemlig ikke alle de gode idéer selv.
Computerworld
Seneste Windows 10-opdatering kan få din computer til at gå i sort - selv Microsofts egne Surface-enheder ramt
Der er knas i den store Windows 10 forårsopdatering. I værste tilfælde kan den få din computer til at gå helt i sort.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Vil strejkende it-folk kunne lægge hele Statens It ned? "Det har vi ingen kommentarer til," lyder den kryptiske melding fra Statens It
50 it-medarbejdere hos Statens It truer med at nedlægge arbejdet i sympatistrejke. Vil det betyde, at Statens It går ned?
Statens It nægter at svare.
White paper
På jagt efter nyt BI-system? … Her er analysen og de 25 vigtigste KPI’er
Et godt BI-system er en central del af en digitaliseret virksomhed. Dette whitepaper fra EG dykker ned i en analyse af de nødvendige overvejelser på det organisatoriske, teknologiske og brugerorienterede niveau. Samtidig får du en liste med 25 vigtige KPI’er inden for ni funktionsområder, så du kan se, hvad andre virksomheder holder øje med.