Artikel top billede

Oracle lukker Java-sårbarhed efter angreb

En 0-dags-sårbarhed i Java er blevet brugt til såkaldte drive-by downloads.

Computerworld News Service: En uge efter en kritisk sårbarhed blev offentliggjort, har Oracle nu rettet en fejl i sin virtuelle maskine i Java, der kunne udnyttes til at snige malware ind på din computer.

I sidste uge oplyste sikkerhedsleverandøren AVG Technologies at have iagttaget denne fejl blive udnyttet i et reelt angreb.

Oracle udgav opdateringen til Java SE 6 version 20 torsdag morgen. Denne opdatering retter tre sikkerhedsfejl i Java heriblandt den sårbarhed, der blev udnyttet i AVG Technologies' angreb, som blev offentliggjort i sidste uge af Google-analytiker Tavis Ormandy.

Sårbarheden rammer Windows-udgaven af Java 6 version 10 eller senere, oplyser Ormandy i en [url=http://seclists.org/fulldisclosure/2010/Apr/119]fuld beskrivelse af problemet[url], der i sidste uge blev offentliggjort på et sikkerhedsforum.

Her fortæller han, at Oracles Java-team i første omgang havde spist ham af med, at sårbarheden ikke var alvorlig nok til at fordre en hasteopdatering - den næste sikkerhedsopdatering af Java er planlagt til juli - men Oracle har tilsyneladende ændret mening, efter hackere faktisk er begyndt at udnytte sårbarheden.

En talskvinde fra Oracle svarede ikke umiddelbart på en henvendelse torsdag om at kommentere på sagen.

Sårbarheden, der blev offentliggjort af Ormandy, ligger i, hvordan Javas Web Start-komponent lader brugerne køre applikationer fra en url. En hacker kan anmode den virtuelle maskine om at installere et Java-bibliotek med skadelig kode, som derefter kan bruges til at køre malware fra computeren.

Tidligere på ugen rapporterede AVG Technologies om, at websitet Songlyrics.com var blevet hacket og omdirigerede dets besøgende til en russisk server, der udførte præcist et sådant angreb.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Briefing: Geopolitik og cloud

Private vs. public cloud - hybride løsninger der sikrer kritiske data. Overvejer din organisation at vende de amerikanske cloud-giganter i ryggen set i lyset af den geopolitiske situation? Vi dykker ned i en dugfrisk rapport og diskuterer mulighederne for en "Plan B".

05. maj 2025 | Læs mere


Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

06. maj 2025 | Læs mere


Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

14. maj 2025 | Læs mere