mboost-dp1

Sun

Java 7 har et sikkerhedshul

- Via Version2 - , redigeret af Net_Srak

Fornyligt blev det afsløret, at der var et sikkerhedshul i Java 7 i kombination med bestemte browsere. De berørte browsere er Internet Explorer, Firefox, Opera og muligvis også Chrome. Usikkerheden omkring Chrome skyldes, at sikkerhedshullet ikke umiddelbart ser ud til at virke mod Chrome, men det forlyder, at Metasploit arbejder på en løsning, så det også virker mod Chrome. Sikkerhedshullet ser ud til kun at ramme Java 7 og ikke tidligere versioner af Java. Det skriver Version2.

Sikkerhedsfirmaet Deep End Research beskriver, at angrebet vil tage form i at loading-vinduet med kaffekoppen vil dukke frem. Herefter vil loadingvinduet blive blankt, og der vil blive installeret et program. Deep End Research anbefaler ikke en tilbagevenden til en tidligere Java-version, men derimod at man slår Java fra.

Da Oracle har indført en kvartalsvis opdatering af Java, og den næste opdatering først i er oktober, ser det ikke ud til at Oracle kommer med en opdatering inden da. Dog arbejder andre sikkerhedseksperter på en uofficiel patch, der kan forhindre det ondsindede program at blive installeret. det kræver dog, at man skriver til admin(at)deependresearch.org med en forklaring, hvis man ønsker patchen.





Gå til bund
Gravatar #1 - loki
29. aug. 2012 06:34
Start > Kør > skriv cmd
Skriv "java -version" uden citationstegn.
Gravatar #2 - DjMadness
29. aug. 2012 06:46
Mon ikke Oracle tilbyder en patch lidt tidligere end october ?
Det ville være dumt at gøre andet, da det ville ødelægge deres image endnu mere.
Gravatar #3 - Cosmikaze
29. aug. 2012 07:27
loki (1) skrev:
Start > Kør > skriv cmd
Skriv "java -version" uden citationstegn.

Virker kun hvis du har din java folder i din path variable, hvilket den ikke er som standard
Gravatar #4 - csstener(^,^)
29. aug. 2012 07:33
#0 skrev:
Sikkerhedsfirmaet Deep End Research beskriver, at angrebet vil tage form i at loading-vinduet med kaffekoppen vil dukke frem. Herefter vil loadingvinduet blive blankt, og der vil blive installeret et program. Deep End Research anbefaler ikke en tilbagevenden til en tidligere Java-version, men derimod at man slår Java fra.

det samme tegn som NemId laver på de sider som bruger det. Eks min Banks side
Gravatar #5 - buchi
29. aug. 2012 07:42
tjaa, java bliver brugt forsvindende lidt som browserplugins nu om dage.

Det havde straks været værre hvis sikkerhedshullet havde ramt tomcat og andre java baserede webservere...
Gravatar #6 - Jaqen
29. aug. 2012 07:46
#5: NemID? er overbevist at java der bliver brugt som plugin.

#1: Javaversionen kan kan også ses under kontrolpanelet, hvor der er et java-ikon hvis man bruger klassisk visning i windows.

de mere dovne kan bruge en hjemmeside som www.tjekpc.dk
Gravatar #7 - Cosmikaze
29. aug. 2012 07:55
deependresearch.org skrev:
It works in all common browsers versions of Internet Explorer, Firefox, and Opera. Does NOT work in Chrome. (Update: The original exploit we tested did not affect Chrome. We did not test Metasploit but reports are that their module works for all browsers. Disable java support in your browser)
Gravatar #8 - gensplejs
29. aug. 2012 07:58
NemID skrev:
Nothing to see here... MOVE ALONG!


Som altid har de drukket en stor slurk af natpotten før de udtalte sig om det seneste sikkerheds hul som de tvinger danskerne til at have på deres maskine....
http://www.version2.dk/artikel/danids-anbefaling-t...
Gravatar #9 - PzymeX
29. aug. 2012 08:17

Gravatar #10 - loki
29. aug. 2012 09:35
... gentagelse? Hvordan kan mit indlæg som det først blive rated "gentagelse" når det hverken står i teksten eller linket? Det er ratingsystem fungere bare...
Gravatar #11 - bbb2020
29. aug. 2012 09:36
#0
Deep End Research anbefaler ikke en tilbagevenden til en tidligere Java-version, men derimod at man slår Java fra.

Q1: Hvad forskel er der på version 1.6 og 1.7?
Sagt på en anden måde: Hvilke fordele er der for mig som bruger, at upgradere til version 1.7 når alt jeg bruger Java til, er NemId?

Q2: hvis man slår Java fra (hvordan gør man så det?), hvordan slår man det så til igen, når man skal bruge det?
Gravatar #12 - loki
29. aug. 2012 10:53
#11

I firefox gør du det således:

1) At the top of the Firefox window, click on the Firefox button (Tools menu in Windows XP), and then click Add-ons. The Add-ons Manager tab will open.
2) In the Add-ons Manager tab, select the Plugins panel.
3) Click on the Java (TM) Platform plugin to select it.
4) Click on the Disable button (if the button says Enable, Java is already disabled).

http://support.mozilla.org/en-US/kb/How%20to%20tur...
Gravatar #13 - bbb2020
29. aug. 2012 11:47
#12

Okay, så det er bare browser plugin'en man skulle disable. Kan jeg nok finde ud af. Troede det var hele Java installationen det gjalt.

Så mangler vi bare svar på, hvad insitamentet er til at opgradere.
Gravatar #14 - arne_v
29. aug. 2012 12:56
http://www.kb.cert.org/vuls/id/636312

har en masse detaljer.
Gravatar #15 - arne_v
29. aug. 2012 12:56
DjMadness (2) skrev:
Mon ikke Oracle tilbyder en patch lidt tidligere end october ?


Det må man formode.
Gravatar #16 - arne_v
29. aug. 2012 12:59
Cosmikaze (3) skrev:
Virker kun hvis du har din java folder i din path variable, hvilket den ikke er som standard


????

Jeg synes nu ellers at der normalt dumpes (ganske uønsket !!) en java.exe ned i C:\Windows\System32.
Gravatar #17 - arne_v
29. aug. 2012 13:01
buchi (5) skrev:
tjaa, java bliver brugt forsvindende lidt som browserplugins nu om dage.


Der er stadigvæk en del web løsninger som bruger det inkl. NemID.

buchi (5) skrev:
Det havde straks været værre hvis sikkerhedshullet havde ramt tomcat og andre java baserede webservere...


Problemstillingen med sandbox og security manager er ikke relevant for servere (medmindre det er en shared server).
Gravatar #18 - arne_v
29. aug. 2012 13:02
bbb2020 (11) skrev:

Q1: Hvad forskel er der på version 1.6 og 1.7?
Sagt på en anden måde: Hvilke fordele er der for mig som bruger, at upgradere til version 1.7 når alt jeg bruger Java til, er NemId?


Ingen (NemID virker så vidt jeg ved med 1.6).

bbb2020 (11) skrev:
Q2: hvis man slår Java fra (hvordan gør man så det?), hvordan slår man det så til igen, når man skal bruge det?


Browser specifikt.
Gravatar #19 - arne_v
29. aug. 2012 13:05
bbb2020 (13) skrev:
Kan jeg nok finde ud af. Troede det var hele Java installationen det gjalt.


Problemet relaterer sig til sandbox implementeringens brug af SecurityManager.

Det vedrører:
- Java applets
- Java Web Start
- visse specielle server configurationer [og jeg er ret sikker på at det ikke vedrører dig]
Gravatar #20 - kr00z0r
29. aug. 2012 13:23
Nogen der ved om det gælder alle OS'er, eller kun Windows?
Gravatar #21 - arne_v
29. aug. 2012 13:31
#20

Det skulle gælde alle OS.

Men indtil videre er der vist kun set exploits til Windows.

http://arstechnica.com/security/2012/08/critical-j...


So far, all of the exploits reported to be in the wild attack Windows PCs, but according to Errata Security CTO David Maynor, it's not hard exploit Mac and Linux machines that have the latest version of Java from Oracle installed.


Gravatar #22 - LordMike
29. aug. 2012 15:45
Titlen er forkert...
Burde være "Java har endnu et sikkerhedshul"
Gravatar #23 - arne_v
29. aug. 2012 15:57
#22

Hvilke andre sikkerhedshuller kender du i current Java?
Gravatar #24 - thimon
29. aug. 2012 21:59
DK-CERT anbefaler nu også, at Java slåes fra.
http://www.version2.dk/artikel/sikkerhedsadvarsel-...

DK-CERT skrev:

Danskerne bør slå Java fra i deres sædvanlige browser og kun bruge Java i en særskilt browser, hvis de har brug for eksempelvis at logge på med NemID.
Gravatar #25 - LordMike
29. aug. 2012 23:52
#23 - ingen på stående fod.
Jeg synes dog ikke at sætningen giver noget hint om at det er "endnu en" i den aktualle udgave.. :P
Gravatar #26 - tormok
30. aug. 2012 04:45
http://krebsonsecurity.com/2012/08/java-exploit-leveraged-two-flaws/ skrev:
Researchers: Java Zero-Day Leveraged Two Flaws

New analysis of a zero-day Java exploit that surfaced last week indicates that it takes advantage of not one but two previously unknown vulnerabilities in the widely-used software. The latest figures suggest that these vulnerabilities have exposed more than a billion users to attack. ...


Gravatar #27 - tormok
30. aug. 2012 04:52
http://www.darkreading.com/vulnerability-management/167901026/security/attacks-breaches/240006469/new-reliable-java-attack-spreading-fast-uses-two-zero-day-bugs.html skrev:
New 'Reliable' Java Attack Spreading Fast, Uses Two Zero-Day Bugs

Hundreds of domains serving up attack, tens of thousands of new victim machines since Java exploit was added to BlackHole toolkit ...
Gravatar #28 - Slettet Bruger [3607610113]
30. aug. 2012 21:44
Jeg har lige modtaget en patch (1.7 update 7) til Java der fikser følgende: http://www.oracle.com/technetwork/topics/security/...
Gravatar #29 - arne_v
30. aug. 2012 21:46
#28

Så lad os håbe at folk får opdateret i en fart.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login