Central Java-komponent ramt af kritisk sårbarhed

En kritisk sårbarhed er blevet fundet i en central Java-enhed, og hullet er endnu ikke blevet lukket. Sikkerhedsfirma anbefaler, at man sætter en prop i hullet, indtil der kommer en lappeløsning.

Artikel top billede

Weekenden bød på to uafhængige sikkerhedsadvarsler om en sårbarhed i Java Web Start, der er frameworket til eksekvering af Java-applikationer direkte på nettet.

Advarslerne går ifølge sikkerhedsfirmaet CSIS Group ud på en sårbarhed, der opstår på grund af en manglende validering af de parametre, der behandles af komponenten "javaws.exe", og som truer computere forbundet til internettet.

Derved bliver der åbnet mulighed for at eksekvere vilkårlige .jar-filer uden restriktioner på samtlige versioner af Microsoft Windows, som har installeret den fejlbehæftede komponent.

"Sårbarheden er simpel at udnytte i praksis, og den kan blandt andet misbruges i relation til traditionel klient side drive-by angreb," lyder det fra CSIS Group, der mistænker samtlige versioner siden Java SE 6 update 10 fra oktober 2008 for at være sårbare for sikkerhedsbristen, som sikkerhedsfolkene betegner som "kritisk".

CSIS Group forklarer, at problemet teknisk set opstår i den måde, som JAVA Plugin'et identificerer Java Web Start indhold (jnlp filer) på.

Det gør det muligt, for en ondsindet person eksempelvis via en websider, at lægge kommandolinje parametre igennem "docbase" tag og "launchjnlp".

Sæt en prop i hullet

Indtil der frigives en decideret lap til at lukke sikkerhedshullet, anbefaler CSIS desuden, at man kan begrænse adgangen til biblioteket "npdeploytk.dll" igennem ACL (Access control lists).

Derudover henviser sikkerhedsfirmaet til yderligere oplysninger om hullet på sikkerhedsovervågnings-hjemmesiderne seclists.org og reversemode.com.

Læses lige nu

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S