Søg

0-dagssårbarhed rammer Java - Oracle knokler

Koden til Oracles Java-software er blevet ramt af en sårbarhed, der endnu ikke kan lukkes med en opdatering. Oracle knokler på en løsning, men der er ingen grund til panik i Danmark.

13. juli 2015 kl. 11.05
Artikel top billede
Nicolai Devantier Nicolai Devantier Journalist

Sikkerhedsfirmaet TrendMicro har identificeret en hidtil ukendt sårbarhed i JavaJRE, hvor der endnu ikke er udviklet en sikkerhedslap.

Det, der også kaldes for en 0-dagssårbarhed.

Fra sikkerhedsfirmaet CSIS lyder det, at sårbarheden allerede anvendes aktivt af en APT (advanced persistent threat)-gruppe, som traditionelt udvælger mål i vesten, og tidligere er gået efter større organisationer som NATO og EU samt mål i USA.

APT-truslen anses også for at være et af de største sikkerhedsproblemer i Danmark lige nu.

Det kan du læse mere om her: Her er den største sikkerhedstrussel mod danske virksomheder lige nu: Har du hørt om APT?

Oracle, der står for vedligeholdelse af koden til Java, har erkendt problemet og fortæller, at der knokles på at rette det.

Kun i den nye version af Java

Sårbarheden er registreret i den nyeste udgave af JavaJRE i version 1.8.0.45, men den er ikke registreret i de ældre versioner som 1.6 og 1.7.

Det betyder dog ikke, at man bare kan nedgradere sin Java-installation, fordi de ældre versioner er sårbare overfor andre kritiske svagheder, der er rettet i den nye version.

Foreløbig skal vi dog ikke være bekymrede i Danmark.

"Vi har ingen indikation af, at der er mål i Danmark, som er berørt af denne kampagne. Af samme grund ser det ud til, at sårbarheden foreløbig kun anvendes i målrettede spear phishing-angreb," oplyser CSIS.

Den kode, der misbruger sårbarheden i JavaJRE, installerer en bagdør på sårbare systemer - hvilket i øjeblikket vil sige alle Java-installationer, da der ikke er udviklet en patch af Oracle.

"I første fase afvikles kode i hukommelsen, som installerer en dropper, der forbinder sig til en stribe domæner, der henter hovedkomponenten. Den binder så maskinen ind i et botnet," forklarer CSIS.

0-dagssårbarheden findes i både Linux- og Windows-versionerne.

Angrebene foregår gennem en mail, der har et indlejret link, som ofret skal lokkes til at klikke på.

Løsningen på problemet er derfor at undgå at gøre netop det, indtil Oracle kommer med en sikkerhedslap.

Læs også:
Stort data-læk afslører hemmelige it-sårbarheder

Så hurtigt og nemt kan din computers BIOS hackes

Sådan kommer du i gang med at forsikre dig mod hacker-angreb

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Tillid i en Zero-Trust verden

    Annonceindlæg fra Trustworks

    Tillid i en Zero-Trust verden

    Med voksende trusler, nye EU-krav og øget kompleksitet er cybersikkerhed nu en central ledelsesopgave på linje med strategi og økonomi.

    KMD A/S

    .NET-udvikler

    Nordjylland

    KMD A/S

    Senior Legal Specialist

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger IT-supporterelever til lokal IT Servicecenter på flyvestation Skrydstrup

    Sydjylland

    Capgemini Danmark A/S

    Management Consultant

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 15. september 2025 ansat Peter Holst Ring Madsen som Systemkonsulent ved netIP's kontor i Holstebro. Han kommer fra en stilling som Team Lead hos Thise Mejeri. Nyt job

    Peter Holst Ring Madsen

    Netip A/S

    Christian Pedersen, emagine Consulting A/S, er pr. 1. februar 2026 udnævnt som Chief AI Officer. Han beskæftiger sig med opkvalificere emagines ansatte, udvikle interne AI-værktøjer og levere AI-projekter for kunderne. Som leder af et nye AI-team skal han også udvikle og lancere AI-produkter til markedet. Udnævnelse

    Christian Pedersen

    emagine Consulting A/S

    IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

    Henrik Thøgersen

    IT Confidence A/S

    Netip A/S har pr. 1. november 2025 ansat Kristian Kveiborg Yde som BI-konsulent ved netIP's kontor i Thisted. Han er uddannet med en Cand.merc. i økonomistyring. Nyt job

    Kristian Kveiborg Yde

    Netip A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 65-årig it-profil har sendt 200 ansøgninger forgæves: "Jeg har mere at tilbyde end en yngre kandidat"
    2 Tysk våbenkæmpe klar med alternativ til Starlink: Vil vriste sig fri af amerikansk afhængighed
    3 Sundhed.dk ramt af cyberangreb: Ny prorussisk gruppe på spil i Danmark
    4 Den franske regering vil droppe Zoom og Microsoft Teams: Alle statslige ansatte skal bruge nyt europæisk værktøj
    5 Netcompany vinder endnu en kæmpe rammeaftale hos det offentlige: Sætter sig tungt på levering af konsulenter til Stil
    6 Microsoft bekræfter: Vil udlevere brugernes krypterede data til FBI
    7 Kommunalt open source-projekt har seks måneder til at skaffe 26 millioner kroner: Vil frigøre folkeskolen fra Microsoft og Google
    8 Stor kunde frygtede at miste adgangen til centrale VMware-systemer: Nu indgår Broadcom en aftale

    Se seneste uge