Søg

0-dagssårbarhed rammer Java - Oracle knokler

Koden til Oracles Java-software er blevet ramt af en sårbarhed, der endnu ikke kan lukkes med en opdatering. Oracle knokler på en løsning, men der er ingen grund til panik i Danmark.

13. juli 2015 kl. 11.05
Artikel top billede
Nicolai Devantier Nicolai Devantier Journalist

Sikkerhedsfirmaet TrendMicro har identificeret en hidtil ukendt sårbarhed i JavaJRE, hvor der endnu ikke er udviklet en sikkerhedslap.

Det, der også kaldes for en 0-dagssårbarhed.

Fra sikkerhedsfirmaet CSIS lyder det, at sårbarheden allerede anvendes aktivt af en APT (advanced persistent threat)-gruppe, som traditionelt udvælger mål i vesten, og tidligere er gået efter større organisationer som NATO og EU samt mål i USA.

APT-truslen anses også for at være et af de største sikkerhedsproblemer i Danmark lige nu.

Det kan du læse mere om her: Her er den største sikkerhedstrussel mod danske virksomheder lige nu: Har du hørt om APT?

Oracle, der står for vedligeholdelse af koden til Java, har erkendt problemet og fortæller, at der knokles på at rette det.

Kun i den nye version af Java

Sårbarheden er registreret i den nyeste udgave af JavaJRE i version 1.8.0.45, men den er ikke registreret i de ældre versioner som 1.6 og 1.7.

Det betyder dog ikke, at man bare kan nedgradere sin Java-installation, fordi de ældre versioner er sårbare overfor andre kritiske svagheder, der er rettet i den nye version.

Foreløbig skal vi dog ikke være bekymrede i Danmark.

"Vi har ingen indikation af, at der er mål i Danmark, som er berørt af denne kampagne. Af samme grund ser det ud til, at sårbarheden foreløbig kun anvendes i målrettede spear phishing-angreb," oplyser CSIS.

Den kode, der misbruger sårbarheden i JavaJRE, installerer en bagdør på sårbare systemer - hvilket i øjeblikket vil sige alle Java-installationer, da der ikke er udviklet en patch af Oracle.

"I første fase afvikles kode i hukommelsen, som installerer en dropper, der forbinder sig til en stribe domæner, der henter hovedkomponenten. Den binder så maskinen ind i et botnet," forklarer CSIS.

0-dagssårbarheden findes i både Linux- og Windows-versionerne.

Angrebene foregår gennem en mail, der har et indlejret link, som ofret skal lokkes til at klikke på.

Løsningen på problemet er derfor at undgå at gøre netop det, indtil Oracle kommer med en sikkerhedslap.

Læs også:
Stort data-læk afslører hemmelige it-sårbarheder

Så hurtigt og nemt kan din computers BIOS hackes

Sådan kommer du i gang med at forsikre dig mod hacker-angreb

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Revolutionér kundeoplevelsen med AI og automatisering Revolutionér kundeoplevelsen med AI og automatisering
    Whitepaper
    Revolutionér kundeoplevelsen med AI og automatisering
    Udnyt Genesys Cloud CX optimalt og styrk kundeoplevelsen Udnyt Genesys Cloud CX optimalt og styrk kundeoplevelsen
    Whitepaper
    Udnyt Genesys Cloud CX optimalt og styrk kundeoplevelsen
    Undgå at printeren bliver svageste led i sikkerheden Undgå at printeren bliver svageste led i sikkerheden
    Whitepaper
    Undgå at printeren bliver svageste led i sikkerheden
    Se flere whitepapers

    Netcompany A/S

    Erfaren Linux Operations Engineer

    Nordjylland

    Forsyningstilsynet

    Vil du være med til at styrke Forsyningstilsynets informationssikkerhed og databeskyttelse?

    Københavnsområdet

    TV2

    Erfaren Platform Engineer til Compute, Storage & Identity team i TV 2

    Fyn

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Machine Learning Operations Engineer til opbygning af Forsvarets nye IT-platform

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Norriq Danmark A/S har pr. 1. september 2025 ansat Alexander Bendix som Consultant. Han skal især beskæftige sig med tilføre nye, friske perspektiver og værdifuld viden til NORRIQS Data & AI-afdeling. Nyt job

    Alexander Bendix

    Norriq Danmark A/S

    VisionBird har pr. 1. november 2025 ansat Kelly Lyng Ludvigsen, 38 år, som Seniorrådgiver. Hun skal især beskæftige sig med Rådgivning og undervisning i Contract Management. Hun kommer fra en stilling som Contract Manager hos Novo Nordisk. Hun er uddannet Cand. jur. og BS fra CBS. Hun har tidligere beskæftiget sig med Contract Management i flere roller i både det private, offentlige og som konsulent. Nyt job

    Kelly Lyng Luvigsen

    VisionBird

    Netip A/S har pr. 1. november 2025 ansat Nikolaj Vesterbrandt som Datateknikerelev ved netIP's afdeling i Rødekro. Han er uddannet IT-supporter ved Aabenraa Kommune og videreuddanner sig nu til Datatekniker. Nyt job

    Nikolaj Vesterbrandt

    Netip A/S

    Immeo har pr. 1. oktober 2025 ansat Michael Krogh-Schlicter som Director. Han kommer fra en stilling som Senior Vice President hos Valtech. Han er uddannet i Business Administration and Computer Science på CBS. Nyt job

    Michael Krogh-Schlicter

    Immeo

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 ChatGPT mister terræn: Især én konkurrent stormer frem i kampen om brugerne
    2 Kæmpe alders-skævhed: Så lille er andelen af ansatte, der har rundet 60 år, i danske it-virksomheder
    3 Salget kollapser hos bilproducent efter "det mest økonomisk ødelæggende cyberangreb" i britisk historie
    4 Dell med opsigtsvækkende udmelding: Forbrugerne gider ikke købe AI-PC'er
    5 Krisemøde med danske og grønlandske politikere endte i kaos og konfrontation: Nu frygter deltagere, at USA lyttede med
    6 Microsoft køber selskab af tidligere ansat for at styrke særlig dataplatform
    7 Morgen-briefing: Russere har hacket overvågningskamera i dansk svømmehal / NetNordic klar med sit 25. opkøb siden 2015 / DR skruer op for tech og AI for at sikre demokratiet
    8 Fire it-giganter skal kæmpe om en af de største kommunale kontrakter nogensinde

    Se seneste uge