mboost-dp1

Sun

Oracle kendte til sikkerhedshuller i flere måneder og har nu opdateret Java

- Via Arstechnica - , redigeret af Net_Srak

Et polsk sikkerhedsfirma, Security Explorations, advarede Oracle i april om, at Java indeholdt 19 sikkerhedshuller. Blandt de 19 sikkerhedshuller, er de to af dem [url=k/java-7-har-et-sikkerhedshul]for nyligt[/url] blevet afsløret som værende kritiske. Security Explorations fortæller, at de gav Oracle eksempler på hvordan hullerne kunne udnyttes. Dog erkender Security Explorations, at de to omtalte sikkerhedshuller anvendes lidt anderledes end Security Explorations gjorde.

De to sikkerhedshuller er nu så alvorlige, at flere sikkerhedsorganisationer herunder DK-CERT råder brugere til at slå Java fra i browseren.

Med de to sikkerhedshuller, er det muligt for hackere at omgå den indbyggede sikkerhed i Java og dermed installere malware. Esteban Guillardoy fra Immunity Inc. forklarer hvad sikkerhedshullerne mere specifikt skyldes.

Esteban Guillardoy, Immunity Inc. skrev:
The first bug was used to get a reference to sun.awt.SunToolkit class that is restricted to applets while the second bug invokes the getField public static method on SunToolkit using reflection with a trusted immediate caller bypassing a security check. The beauty of this bug class is that it provides 100 percent reliability and is multiplatform. Hence this will shortly become the penetration test Swiss knife for the next couple of years (as did its older brother CVE-2008-5353).

Selvom Oracle kendte til de 19 sikkerhedshuller allerede i april, og de opdaterede Java i juni, er der altså ikke sket noget med de to omtalte sikkerhedshuller. Dog har Oracle fjernet tre af de andre 19 sikkerhedshuller som Security Explorations advarede om.

Oracle har nu sendt en opdatering ud til Java SE 7 og Java SE 6. Den næste normale opdatering forventes i oktober.





Gå til bund
Gravatar #1 - bjerh
31. aug. 2012 10:56
Jeg har I DEN grad lyst til at fjerne Java. Programmet kommer op KONSTANT med "opdateringer" og UAC-anmodninger om, at få lov til at tjekke efter opdateringer.

Det er røv irriterende, at det ikke kan gøres mindre distraherende.

Men NemId, skal jo naturligvis bruge Java, så der er ikke nogen vej udenom... ØV!
Gravatar #2 - Daniel-Dane
31. aug. 2012 10:56
bjerh (1) skrev:
Men NemId, skal jo naturligvis bruge Java, så der er ikke nogen vej udenom... ØV!


Men Java er jo det mest sikre at bruge! Altså, hallo.
Gravatar #3 - uykh
31. aug. 2012 11:07
ej sun fix jers lord.
Java er lagsomt og fejler og går ned KONSTANT og nu med sikkerheds fejl ARHHH.
Gravatar #4 - Nagelfar^^
31. aug. 2012 11:12
#1
Slå UAC fra, Slå javaupdate fra, opdatér med nyeste version når du har lyst
#3
I don't even know where to begin
Gravatar #5 - f-style
31. aug. 2012 11:30
Nagelfar^^ (4) skrev:
#1
Slå UAC fra, Slå javaupdate fra, opdatér med nyeste version når du har lyst
#3
I don't even know where to begin


Det er mere bekvemt at slå UAC fra, men det skal helt sikkert ikke anbefales til alle, hvis man ved hvad man gøre, ikke kører med admin konto så er UAC et rigtig godt middel til at se når til kræver admin adgang. Det kan man ikke når den er slået fra. Kører selv med UAC og standard bruger, ingen grund til at køre som administra hele tiden, det er windows for usikkert til og for mange ting der vil kunne udnyttes.
Gravatar #6 - HerrMansen
31. aug. 2012 11:49
#5: UAC <> Spil - Ikke en god kombination. Det er uhyggeligt overbeskyttende.
Gravatar #7 - Nagelfar^^
31. aug. 2012 11:56
#5
Har hverken UAC eller AV på PC'en, og kører som admin.

De par gange jeg har taget en MBAM scanning, har det kun været PUP's der kommet frem (hacktool/keygen/etc)

Så ud fra det setup kan jeg bekræfte hvad jeg allerede ved, nemlig at virus skyldes brugeren.

Jeg skal naturligvis ikke kunne sige om jeg har et eller andet snedigt bootkit/rootkit liggende, men hvis jeg har er det ikke til gene.

edit:
#5 skrev:
Det er mere bekvemt at slå UAC fra, men det skal helt sikkert ikke anbefales til alle

er lige præcis det jeg mener :) går bare ud fra at 99% af folk der poster herinde har så godt styr en på PC at UAC er unødvendigt
Gravatar #8 - Jaqen
31. aug. 2012 11:58
ehm Oracle udgav en rettelse til Java7 (6'eren var vist ikke ramt af den kritiske fejl) her til morgen. CSIS skrev om det i morges:
http://www.csis.dk/da/csis/news/3630/

så at BT.dk gik helt amok og snakkede om "virus der rammer alle netbanker" eller noget tilsvarende opgejlet. Men det kan næppe overraske.

Med mindre man færdes på skumle sider, eller åbner spammails, var man vist aldrig i fare.
Gravatar #9 - bjerh
31. aug. 2012 12:10
#4 Det er udelukkende Java jeg har et problem med. Alle andre programmer er sgu fint i stand til at ikke at være urimeligt forstyrrende. ;)
Gravatar #10 - micnolmad
31. aug. 2012 12:27
#6 Hvilke spil er det lige du har problemer med? Eller har jeg bare slået uac fra på min spil pc?? Kan sgu ikke huske lige nu..
Gravatar #11 - gensplejs
31. aug. 2012 13:14
uykh (3) skrev:
ej sun fix jers lord.
Java er lagsomt og fejler og går ned KONSTANT og nu med sikkerheds fejl ARHHH.

Sun?
Gravatar #12 - gensplejs
31. aug. 2012 13:16
micnolmad (10) skrev:
#6 Hvilke spil er det lige du har problemer med? Eller har jeg bare slået uac fra på min spil pc?? Kan sgu ikke huske lige nu..

Der var nogle spil som havde problemer... I de første måneder efter vista kom... Men hvis han stadig har et spil med de problemer nu så er jeg imponeret.
Gravatar #13 - arne_v
31. aug. 2012 13:17
Jaqen (8) skrev:
Oracle udgav en rettelse til Java7 (6'eren var vist ikke ramt af den kritiske fejl) her til morgen.


Oracle udgav 7u7 og 6u35.

De fixed 4 bugs.

1 bug var både i 6 og 7.

3 bugs var kun i 7.

6 skal også opdateres.
Gravatar #14 - arne_v
31. aug. 2012 13:19
bjerh (1) skrev:
Jeg har I DEN grad lyst til at fjerne Java. Programmet kommer op KONSTANT med "opdateringer" og UAC-anmodninger om, at få lov til at tjekke efter opdateringer.


Du skal nok have en fagkyndig til at checke din PC.

Java updater spørger ikke om lov til at checke for opdateringer.

Java updater spørger om lov til at opdatere.

Traditionelt er der kommet ca. 6 opdateringer om året.
Gravatar #15 - csstener(^,^)
31. aug. 2012 14:08
Daniel-Dane (2) skrev:
Men Java er jo det mest sikre at bruge! Altså, hallo.
den kommentar gemmer jeg lige: https://dl.dropbox.com/u/17458891/fun%20comments/d...
Gravatar #16 - Nagelfar^^
31. aug. 2012 14:14
#14
Lyder meget rigtigt. Men hvis man vælger at ignorere en javaupdate så kommer den til gengæld også konstant og nagger

#15
At DD laver en sarkastisk kommentar vedr. javasikkerhed er da fint nok? det er jo ikke det sikreste i verden

Tror du det var bogstaveligt talt?
Gravatar #17 - terracide
31. aug. 2012 14:39
HerrMansen (6) skrev:
#5: UAC <> Spil - Ikke en god kombination. Det er uhyggeligt overbeskyttende.


Det eneste spil jeg har der kræver jeg kører det som admin er WoT...alle andre er helt tavse når de bliver eksekveret...
Gravatar #18 - GrQnkjaer
31. aug. 2012 14:55
csstener (15) skrev:
den kommentar gemmer jeg lige: https://dl.dropbox.com/u/17458891/fun%20comments/d...


Captain!! Captain!! The sarcasm-beam has no effect on target!!
Gravatar #19 - Mort
31. aug. 2012 16:05
Nagelfar^^ (4) skrev:
#1
Slå UAC fra, Slå javaupdate fra, opdatér med nyeste version når du har lyst


Du glemte:
Slå firewall fra.
Slå antivirus fra.
Enable guest account og gør den til administrator.

Hvis du vil sænke sikkerhedsniveauet kan du ligeså godt gå hele vejen ;)
Gravatar #20 - uykh
31. aug. 2012 17:27
uykh (3) skrev:
ej sun fix jers lord.
Java er lagsomt og fejler og går ned KONSTANT og nu med sikkerheds fejl ARHHH.


Sry mente altid Java var lavet af nogen der hed sun O.O My fail men ja dem der lavede det er nogen dumme folk.
ligesom dem der lavede de nye firefox flash opdateringer :(
Gravatar #21 - Che0ps
31. aug. 2012 19:07
uykh (20) skrev:
uykh (3) skrev:
ej sun fix jers lord.
Java er lagsomt og fejler og går ned KONSTANT og nu med sikkerheds fejl ARHHH.


Sry mente altid Java var lavet af nogen der hed sun O.O My fail men ja dem der lavede det er nogen dumme folk.
ligesom dem der lavede de nye firefox flash opdateringer :(


Java is a programming language originally developed by James Gosling at Sun Microsystems (which has since merged into Oracle Corporation) and released in 1995 as a core component of Sun Microsystems' Java platform.

http://en.wikipedia.org/wiki/Java_%28programming_l...
Gravatar #22 - arne_v
31. aug. 2012 19:30
#21

Pointen er nok "which has since merged into Oracle".
Gravatar #23 - TommyB
1. sep. 2012 06:02
Det er fandme gået nedaf med Java siden Oracle købte Sun :(
Gravatar #24 - arne_v
2. sep. 2012 23:29
#23

De fik Java 7 på gaden.

Java 8 ser ud til at blive leveret til tiden.

JavaFX er blevet gjort færdigt.

Jeg synes ikke at de har gjort det så ringe.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login