Computerworld News Service: Microsoft offentliggjorde mandag, at en bølge af angreb i "en størrelsesorden uden fortilfælde" udnytter sårbarheder i Oracles Java-software.
Antallet af angreb, der forsøger at udnytte fejl i Java, er ifølge en chef i Microsofts Malware Protection Center mangedoblet i de sidste ni måneder fra under en halv million i første kvartal 2010 til mere end seks millioner i tredje kvartal.
"Nogle af vores malware-familier fortæller en skræmmende historie ... der er en bølge af Java-angreb i en størrelsesorden uden fortilfælde," skriver Holly Stewart, der er senior program manager hos MMPC, i et blogindlæg mandag.
Stewart kalder altså Java-angrebene "skræmmende" og tilføjer, at "denne skarpe stigning i angreb er mildest talt overraskende."
Går efter Java Runtime
Oracle er en af Microsofts konkurrenter, hovedsagligt i markedet for database til store virksomheder, hvor Microsofts SQL Server konkurrerer med Oracles flagskib inden for database-serversoftware.
Stewart bemærker, at størstedelen af angrebene i tredje kvartal, der endte 30. september, udnyttede blot tre Java-sårbarheder, hvoraf alle tre er blevet rettet for måneder eller år siden.
Mere end 3,5 millioner af de over seks millioner angreb forsøgte eksempelvis at udnytte en fejl i Java Runtime Environment, der blev rettet i december 2008. Mere end 2,6 millioner angreb gik efter en stack-baseret buffer overflow i Java og JRE, der blev rettet i december 2009.
Stewart fremlægger en teori om, hvorfor den massive forøgelse af angreb er gået ubemærket hen.
Det er en teori, der er baseret på, hvad hun hævder, er, "Java-blindhed" hos de leverandører, der producerer og sælger intrusion detection- og intrusion prevention-systemer, som ellers designes til at opsnuse og stoppe angreb, før de når en virksomheds computere.
"IDS/IPS-leverandører ... har nogle særlige udfordringer i forhold til at parse Java-kode," hævder Stewart.
"Tænk på, hvad der ville ske, hvis man inkorporerede en Java-fortolker i en IPS-engine ... det ville lamme ydelsen i et netværks-IPS. Så de folk, vi forventer, vil opfange stigninger i angreb har faktisk svært ved at se disse angreb. Man kan kalde det Java-blindhed."
Derfor er Java attraktivt for hackere
Det giver mening for hackere at finde på måder at angribe Java-sårbarheder, kommenterer Marc Fossi, der er leder af Symantecs security response-team.
"Da Java fungerer på tværs af både browsere og platforme, så kan det være et attraktivt mål for hackere," påpeger han via instant message i en henvisning til, at Java bruges i alle større browsere samt på både Windows, Mac og Linux.
Der findes dog også andre teorier om, hvorfor Java-angrebene er eksploderet.
I sidste måned skrev sikkerhedsbloggeren Brian Krebs, at "Crimepack" - et af de mange angrebsværktøjer, som hackere bruger til at plante deres malware på sårbare computere - havde ekstremt stor succes med at udnytte en fejl i Java, der ellers var blevet rettet i april.
Statistik over angreb udført ved hjælp af Crimepack, som Krebs fandt online, viser, at 67 procent af alle succesfulde angreb fra en enkelt hackerbande udnyttede denne Java-sårbarhed.
Husk at opdatere
Oracle rettede denne fejl i Java midt i april, kun seks dage efter sikkerhedsudvikler Tavis Ormandy fra Google havde offentliggjort fejlen.
Angribere, der anvender værktøjer som Crimepack, starter typisk med at fyre angreb af mod ældre sårbarheder, forklarer Fossi fra Symantec.
"Angrebsværktøjer inkluderer som regel en ret stor vifte af angreb, der går efter browsere, plugins til browsere og andre klient-programmer," siger han. "De forsøger typisk at udnytte ældre sårbarheder først ... på den måde er de nyere angreb ikke så iøjnefaldende," forklarer han.
Stewart fra Microsoft opfordrer brugere til at opdatere deres Java ved at påføre alle tilgængelige rettelser. Sidste tirsdag udgav Oracle en massiv opdatering med 85 rettelser, og som indeholdt 29 rettelser alene af Java.
Krebs har længe opfordret brugere til at tage mere drastiske skridt såsom helt at afinstallere Java eller i det mindst at anvende opdateringsværktøjer som Secunias Personal Software Inspector, der automatisk installerer sikkerhedsopdateringer af Java.
Oversat af Thomas Bøndergaard