Artikel top billede

Ekstremt farlig sårbarhed i Java udnyttes af hackere

En nul-dagssårbarhed i Java 7 udnyttes aktivt af hackere, advarer sikkerhedseksperter.

Læs også:

Ny hacker-teknik: Spreder sig med lynets hast

Computerworld News Service: En nu-dagssårbarhed i Java 7 udnyttes i øjeblikket af hackere.

Denne sårbarhed, der ikke findes en rettelse af endnu, kan udnyttes via enhver browser på ethvert styresystem, hvad enten det er Windows, Linux eller Mac OS X, så længe der er installeret Java.

Det forklarer Tod Beardsley, der er engineering manager for open source-værktøjet til penetrations-test, Metasploit, der både anvendes af legitime sikkerhedsanalytikere og af datakriminelle.

David Maynor, der er teknologidirektør for Errata Security, bekræfter, at Metasploit-angrebet - som blev offentliggjort mindre end 24 timer efter, fejlen blev opdaget - er effektivt mod Java 7 på Mac OS X Mountain Lion.

"Denne exploit fungerer på OS X, hvis du kører 1.7 Java Runtime Environment," skriver Maynor i en opdatering til et tidligere blogindlæg.

JRE 1.7 inkluderer den seneste version af Java 7, der kaldes Update 6, som blev offentliggjort tidligere på måneden.

Det er lykkes Maynor at udnytte sårbarheden med Metasploit-koden både i Firefox 14 og Safari 6 på Apples seneste Mac-styresystem, OS X 10.8 Mountain Lion.

Flere trusler på vej

Selvom de angreb, der lige nu er i omløb, udelukkende har været mod Windows, så er der altså en reel risiko for, at Macs også vil blive ramt.

"Endnu mere bekymrende er, at der er risiko for, at denne sårbarhed vil blive udnyttet af andre malware-udviklere i nær fremtid," skriver Intego, der sælger antivirussoftware til Mac, i et blogindlæg.

"Java-applets har været en del af installationsprocessen ved stort set alle malware-angreb på OS X i år."

Sådan undgår du at blive ramt

Den største malware-kampagne mod Mac hidtil involverede også Java.

Flashback, der udnyttede en fejl i Java, der til at begynde med ikke var blevet lukket af Apple, inficerede hundredtusindvis af Macs fra først i april 2012.

Apple stoppede med at inkludere Java i OS X fra og med udgivelsen af Lion sidste år. Heller ikke Mountain Lion inkluderede Java.

Det er dog stadig muligt som bruger af et af de to sidste Mac-styresystemer at have Java installeret. Når en browser møder en Java-applet, anmoder den brugeren om tilladelse til at downloade softwaren fra Oracle.

Folk med de ældre Mac-styresystemer Snow Leopard (fra 2009) og Leopard (fra 2007) er endnu mere sårbare overfor sådanne angreb, da Java var installeret på deres styresystemer som standard.

Apple understøtter stadig Java 6, men det er Oracle, der er ansvarlig for at rette Java 7.

"Sårbarheden er ikke i Java 6, men i ny funktionalitet i Java 7," bemærker Beardsley.

Beardsley kalder denne fejl for "super farlig."

Han bemærker, at exploitet fungerer som et drive-by-angreb, hvilket betyder, at angribere kan kompromittere en Mac eller en anden pc ved blot at narre brugeren til at besøge et skadeligt eller tidligere kompromitteret website, der herefter serverer angrebskoden.

Beardsley anbefaler, at man som bruger slår Java helt fra, indtil Oracle udsender en rettelse. Det råd bakkes op af stort set samtlige sikkerhedseksperter, der har kommenteret på denne nyfundne sårbarhed.

Ejere af Macs kan slå Java fra via deres browsere eller helt fjerne softwaren fra deres maskiner.

Oversat af Thomas Bøndergaard

Læs også:

Ny hacker-teknik: Spreder sig med lynets hast




IT-JOB

Metroselskabet og Hovedstadens Letbane

Applikationsansvarlig medarbejder med udvikler-kompetencer

Cognizant Technology Solutions Denmark ApS

Kinaxis Solution Architect
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere