Læs også:
Ny hacker-teknik: Spreder sig med lynets hast
Computerworld News Service: En nu-dagssårbarhed i Java 7 udnyttes i øjeblikket af hackere.
Denne sårbarhed, der ikke findes en rettelse af endnu, kan udnyttes via enhver browser på ethvert styresystem, hvad enten det er Windows, Linux eller Mac OS X, så længe der er installeret Java.
Det forklarer Tod Beardsley, der er engineering manager for open source-værktøjet til penetrations-test, Metasploit, der både anvendes af legitime sikkerhedsanalytikere og af datakriminelle.
David Maynor, der er teknologidirektør for Errata Security, bekræfter, at Metasploit-angrebet - som blev offentliggjort mindre end 24 timer efter, fejlen blev opdaget - er effektivt mod Java 7 på Mac OS X Mountain Lion.
"Denne exploit fungerer på OS X, hvis du kører 1.7 Java Runtime Environment," skriver Maynor i en opdatering til et tidligere blogindlæg.
JRE 1.7 inkluderer den seneste version af Java 7, der kaldes Update 6, som blev offentliggjort tidligere på måneden.
Det er lykkes Maynor at udnytte sårbarheden med Metasploit-koden både i Firefox 14 og Safari 6 på Apples seneste Mac-styresystem, OS X 10.8 Mountain Lion.
Flere trusler på vej
Selvom de angreb, der lige nu er i omløb, udelukkende har været mod Windows, så er der altså en reel risiko for, at Macs også vil blive ramt.
"Endnu mere bekymrende er, at der er risiko for, at denne sårbarhed vil blive udnyttet af andre malware-udviklere i nær fremtid," skriver Intego, der sælger antivirussoftware til Mac, i et blogindlæg.
"Java-applets har været en del af installationsprocessen ved stort set alle malware-angreb på OS X i år."
Sådan undgår du at blive ramt
Den største malware-kampagne mod Mac hidtil involverede også Java.
Flashback, der udnyttede en fejl i Java, der til at begynde med ikke var blevet lukket af Apple, inficerede hundredtusindvis af Macs fra først i april 2012.
Apple stoppede med at inkludere Java i OS X fra og med udgivelsen af Lion sidste år. Heller ikke Mountain Lion inkluderede Java.
Det er dog stadig muligt som bruger af et af de to sidste Mac-styresystemer at have Java installeret. Når en browser møder en Java-applet, anmoder den brugeren om tilladelse til at downloade softwaren fra Oracle.
Folk med de ældre Mac-styresystemer Snow Leopard (fra 2009) og Leopard (fra 2007) er endnu mere sårbare overfor sådanne angreb, da Java var installeret på deres styresystemer som standard.
Apple understøtter stadig Java 6, men det er Oracle, der er ansvarlig for at rette Java 7.
"Sårbarheden er ikke i Java 6, men i ny funktionalitet i Java 7," bemærker Beardsley.
Beardsley kalder denne fejl for "super farlig."
Han bemærker, at exploitet fungerer som et drive-by-angreb, hvilket betyder, at angribere kan kompromittere en Mac eller en anden pc ved blot at narre brugeren til at besøge et skadeligt eller tidligere kompromitteret website, der herefter serverer angrebskoden.
Beardsley anbefaler, at man som bruger slår Java helt fra, indtil Oracle udsender en rettelse. Det råd bakkes op af stort set samtlige sikkerhedseksperter, der har kommenteret på denne nyfundne sårbarhed.
Ejere af Macs kan slå Java fra via deres browsere eller helt fjerne softwaren fra deres maskiner.
Oversat af Thomas Bøndergaard
Læs også:
