mboost-dp1

Sun

Microsoft: Pas på med at bruge Java

- Via technet.com - , redigeret af Net_Srak

I et indlæg på TechNet advarer Microsoft om brugen af Java. Man har nemlig oplevet en drastisk stigning i malware, som skyldes Java. Man råder først og fremmest folk til at opdatere deres Java-version, men dernæst kan man tage skridtet videre og helt slå Java fra på sin computer.

Mange danskere kommer nok ikke til at deaktivere Java, da dette skal bruges i forbindelse med NemID.

Microsoft skrev:
Traditionally, Java has a strong security model, but with type-confusion vulnerabilities, this model is easily broken. Type-confusion is a vulnerability that occurs when type safety check in Java Runtime Environment fails in verifying wrong types supplied to instructions working with different types. This is very dangerous. For example, some of the types from the Java system, like ClassLoader, can be the target of this attack. If those classes’ type safety is broken, you can access some methods that are not supposed to be opened to outside of the class. This class’ type safe violation ultimately leads to a Sandbox compromise for Java.





Gå til bund
Gravatar #1 - syska
3. aug. 2012 07:56
Jeg har ingen ide om det bare skal væk, men bliver der ikke læst korrektur på artikler længere? Det er _ALT_ for mange fejl.

I et indlæg på TechNet advarer Microsoft om brugen af Java. Man har nemlig oplevet en drastisk stigning i malware, som skyldes Java. Man råder først og fremmest folk til at opdatere deres Java-version, men dernæst kan man tage skridtet videre og helt slå Java fra på sin computer. Det skriver
Mange danskere kommer nok ikke til at deaktivere Java, da dette skal bruges i forbindelse med NemID.


Sætningen
Det skriver
... øhhhh?

Jeg kan ikke sende en rettelse ind, det må Wikzo nok hellere gøre da der åbenlyst mangler et eller andet mere end jeg lige kan gætte mig til.

men YAHHHHH, lad og nu komme af med Java.
Gravatar #2 - Montago.NET
3. aug. 2012 08:05
Enig.. MacFee , OpenOffice og Google Toolbar er fanme det værste malware sammen med Java i sig selv..

Ned med Java !!
Gravatar #3 - Fafler
3. aug. 2012 08:07
Det lyder lidt som hvis bageren siger til mig at det er usundt at spise hotdogs og jeg meget hellere skal komme over og købe noget .Net weinerbrød af ham.

Jeg forstår ikke helt hvad de mener problemet er, men jeg tror bestemt det er muligt at rette op på, istedet for at skrotte en hel teknologi.
Gravatar #4 - Mulpacha
3. aug. 2012 08:10
Før i sluger propagandaen rådt så overvej lige kilden. Microsoft med deres .Net er direkte konkurrent til Java.
Gravatar #5 - bjerh
3. aug. 2012 08:13
Med mindre de i virkeligheden mener java, som i java-applets der kører i browseren, så giver jeg heller ikke meget for det. Der er sgu meget andet der er lige så farligt, hvor man også skal huske at tænke sig om.
Gravatar #6 - kalaha
3. aug. 2012 08:15
#3:
Ha... .net wienerbrød.
Den kan jeg godt lide.
Er for øvrigt helt enig. Jeg vil ikke påstå at Java ikke er potentielt farligt, men jeg farer nu heller ikke hen og slår Java fra, efter sådan en udmelding fra en direkte konkurrent.
Gravatar #7 - Mort
3. aug. 2012 08:16
Mulpacha (4) skrev:
Før i sluger propagandaen rådt så overvej lige kilden. Microsoft med deres .Net er direkte konkurrent til Java.


Microsoft er så vidt mig bekendt ved at udfase deres silverlight platform, som er det eneste reelle browseralternativ de har til Java.

Jeg tror ikke Microsoft har noget at hente, ved at råde folk til at disable Java, så længe vi snakker om Java i en browser.
Gravatar #8 - Hubert
3. aug. 2012 08:21
Monstro oracle siger at man skal passe på med at bruge Windows?
Gravatar #9 - Ni
3. aug. 2012 08:27
#7

Silverlight er da en Flash konkurrent, ikke?
Gravatar #10 - CallOfDuty
3. aug. 2012 08:31
Man kan vel bare bruge Google Chrome, hver gang man støder ind i en Java applet spørger den om man vil aktivere Java!?
Gravatar #11 - Kenman
3. aug. 2012 08:48
Der er desværre mangle sikkerhedsproblemer forbundet med at anvende Java. Én ting er så at man som i den omtalte artikel kan omgå Java's sandbox relativt nemt; noget andet er at forbrugere desværre er dumme nok til at tillade en Java applet direkte adgang til filsystemet; deri ligger den reelle trussel i mine øjne.

Men Java til bruge i browseren er, forhåbentlig, en døende teknologi. At banker/det offentlige vælger/bliver tvunget til, at bruge det er så desværre en anden side af sagen. Men så længe der ikke er et reelt alternativ, må vi lære at lave med det.

#4,#7,#9
Silverlight er ikke myntet på Java, men på Flash og er desuden på vej ud, da "HTML5" er "vejen frem".
Gravatar #12 - snakefoot
3. aug. 2012 08:55
#10 Helt enig. Bare ærgeligt at Java starter så langsomt op i Chrome, men det er måske med vilje. Men generelt på WinXP, så skal man kun køre Chrome, den seneste understøttede version af Internet Explorer til WinXP er hullet som en si.

Jeg undrer mig også over at Java Plugin til Internet Explorer ikke kan tilbyde samme beskyttelse. Men det kan skyldes at Oracle/Sun har lavet dette plugin, og de er måske lidt for stolte/dovne.
Gravatar #13 - Cloud02
3. aug. 2012 09:24
CallOfDuty (10) skrev:
Man kan vel bare bruge Google Chrome, hver gang man støder ind i en Java applet spørger den om man vil aktivere Java!?

snakefoot (12) skrev:
Jeg undrer mig også over at Java Plugin til Internet Explorer ikke kan tilbyde samme beskyttelse. Men det kan skyldes at Oracle/Sun har lavet dette plugin, og de er måske lidt for stolte/dovne.

Problemet ligger ikke i plug-in'et. Det ligger i JRE.
Det er heller ikke uden grund at Microsoft også nævner Mac OSX bør tage de nødvendige skridt for at beskytte sig.
Gravatar #14 - mathiass
3. aug. 2012 09:53
Kenman (11) skrev:
Silverlight er ikke myntet på Java, men på Flash og er desuden på vej ud, da "HTML5" er "vejen frem".
Man hører tit det her propaganda om at 'HTML5 er vejen frem'. HTML5 er en relativt beskeden udvidelse af HTML4 som gør det muligt at lave drag and drop samt at tegne grafik (canvas elementet) i browseren. Der er også nogle småting såsom et video tag men det er altså mere eller mindre dét. Det giver ingen adgang til maskinen uden om browserens sandbox.

HTML5 er meget langt fra at kunne løse de samme opgaver som et Java program, og det kan altså på ingen måde erstatte Java. Desuden så har der altså være nærmest uendeligt mange sikkerhedsfejl baseret på buffer overflows of lignende i JavaScript, og jeg kan ikke rigtig se at det skulle have en historie som er ret meget bedre end Java's (nok nærmere tværtimod).

Man kan indvende at det måske slet ikke bør være muligt at lave web sider som kan køre programmer direkte på ens maskine, men det er lidt en anden diskussion.

Husk også at Microsoft har været i et større slagsmål omkring Java for nogle år siden. De har ikke noget behov for at fremstille Java positivt for nu at sige det mildt.
Gravatar #15 - Justin
3. aug. 2012 11:25
ville slette Java med det samme hvis det ikke var for JAVA-ID
Gravatar #16 - Mort
3. aug. 2012 11:54
Ni (9) skrev:
#7

Silverlight er da en Flash konkurrent, ikke?


Jo, det er den, men det er den eneste .NET mulighed som findes i en webbrowser. Du ville sådan set kunne mange af de ting, som en Java applet kan, i en Silverlight komponent også.

Silverlight er bare ikke slået igennem, sansynligvis fordi den ikke findes med samme funktionalitet til lige så mange operativsystemer som Java.
Gravatar #17 - Valkar
3. aug. 2012 11:57
#10 problemet med Chrome er at opdateringer til java-plugin kommer senere til Chrome end til IE.
Danskenetbank bliver ved med at sige at mit plugin er forældet, men jeg kan ikke opdatere det da der ikke er et nyere release til Chrome. Mega træls !
Gravatar #18 - Odyssey
3. aug. 2012 19:21
Er jeg den eneste der finder det morsomt at det lige netop er Microsoft, som advarer folk imod en platform med stigende malware?
Gravatar #19 - Mort
4. aug. 2012 16:50
Odyssey (18) skrev:
Er jeg den eneste der finder det morsomt at det lige netop er Microsoft, som advarer folk imod en platform med stigende malware?


Hvorfor er det morsomt?
Gravatar #20 - techie
4. aug. 2012 19:26
Microsoft har som sådan advaret længe om det i deres sikkerheds rapporter (SIR Volume 12).

http://www.microsoft.com/security/sir/default.aspx

JAVA er en stor sikkerheds brist (Ikke at f.eks ActiveX er bedre). Udover at update notification for JAVA først for nyligt er blevet aktiveret, så har JAVA apps adgang til alt hvad brugeren har adgang til hvis den er signeret og brugeren siger ja til at køre den.

Jeg forstår ikke at firmaer kan accepterer det og ville selv forbyde det i en GPO som beskrevet her:

http://www.itscforum.org/showthread.php?64-Windows...

Gravatar #21 - arne_v
4. aug. 2012 22:17
Fafler (3) skrev:
Jeg forstår ikke helt hvad de mener problemet er, men jeg tror bestemt det er muligt at rette op på, istedet for at skrotte en hel teknologi.


Der har været 2 alvorlige huller i Java sandbox indenfor kategorien "Type Confusion Vulnerabilities":

CVE-2011-3521 (fixet i SUN Java 7 update 1, SUN Java 6 update 28 og SUN Java 5 update 32)

CVE-2012-0507 (fixet i SUN Java 7 update 3, SUN Java 6 update 31 og SUN Java 5 update 34)

så Oracle har skam fixet problemerne for alle nyere Java versioner.

Gravatar #22 - arne_v
4. aug. 2012 22:22
bjerh (5) skrev:
Med mindre de i virkeligheden mener java, som i java-applets der kører i browseren, så giver jeg heller ikke meget for det.


Det er det som er emnet.

Mort (7) skrev:
Jeg tror ikke Microsoft har noget at hente, ved at råde folk til at disable Java, så længe vi snakker om Java i en browser.


Medmindre de satser på at forskellen mellem Java i browser og Java generelt går hen over hovedet på mange læsere.

Mort (16) skrev:

Silverlight er bare ikke slået igennem, sansynligvis fordi den ikke findes med samme funktionalitet til lige så mange operativsystemer som Java.


Jeg tror at der er lang mere SL end Java applets derude.

Det er mit helt klare indtryk at på RIA plugin markedet er det:

1) Flash
2) SL
3) Java applet

Det er mange år siden at Java applet var hot.
Gravatar #23 - arne_v
4. aug. 2012 22:26
Kenman (11) skrev:
Én ting er så at man som i den omtalte artikel kan omgå Java's sandbox relativt nemt;


Hvis du har kendskab til "Type Confusion Vulnerabilities" som Oracle ikke har fixet, så tror jeg gerne at Oracle vil høre fra dig.

Kenman (11) skrev:
noget andet er at forbrugere desværre er dumme nok til at tillade en Java applet direkte adgang til filsystemet; deri ligger den reelle trussel i mine øjne.


Nu er det meget svært at beskytte sig mod dumme brugere.

En Java applet der ønsker privs giver en ret klar advarsel til brugeren. Vælger brugeren at ignorere den advarsel, så kan der ske grimme ting.
Gravatar #24 - arne_v
4. aug. 2012 22:29
CallOfDuty (10) skrev:
Man kan vel bare bruge Google Chrome, hver gang man støder ind i en Java applet spørger den om man vil aktivere Java!?


snakefoot (12) skrev:
Jeg undrer mig også over at Java Plugin til Internet Explorer ikke kan tilbyde samme beskyttelse. Men det kan skyldes at Oracle/Sun har lavet dette plugin, og de er måske lidt for stolte/dovne.


Cloud02 (13) skrev:
Problemet ligger ikke i plug-in'et. Det ligger i JRE.


????

Chrome bruger (typisk) SUN/Oracle Java.

Og browser plugin er en del af JRE.
Gravatar #25 - arne_v
4. aug. 2012 22:40
techie (20) skrev:
JAVA er en stor sikkerheds brist (Ikke at f.eks ActiveX er bedre).


????

ActiveX er en MS komponent teknologi, som bruges mange steder i Windows. Blandt andet er det interfacet mellem Internet Explorer og plugins.

Så Java plugin til IE er en ActiveX komponent.

En ActiveX plugin uden sandbox er ikke bedre end Java ActiveX plugin - den er værre.
Gravatar #26 - Cloud02
5. aug. 2012 08:10
arne_v (24) skrev:
Og browser plugin er en del af JRE.

Jeg troede at det var en form extension til JRE som tillod at browseren kunne instansiere en JVM.
Min pointe var sådan set blot at problemet ikke lå i plug-in og at det var browser (og OS) uafhængigt fordi det ligger i selve måden som koden afvikles på.
Gravatar #27 - arne_v
8. aug. 2012 03:45
#26

Plugin installeres når du installerer JRE.

Da IE og Chrome tilsyneladende opfører sig lidt forskelligt med samme JVM & Java library, så forskellen vil være i enten browser eller plugin.
Gravatar #28 - zin
8. aug. 2012 07:58
Når man råder til at stoppe med at bruge Java grundet sikkerhed, burde man så ikke også råde til at stoppe med at bruge Adobe Reader plugins? Mig bevidst er denne platform langt oftere offer for angreb end Java.
Gravatar #29 - arne_v
8. aug. 2012 12:06
#28

Der findes svagheder i alle plugins og embedded engines: Java applet, Adobe Reader, Flash, JavaScript o.s.v..

Man kan enten satse på plain HTML eller acceptere at der en vis risiko.
Gravatar #30 - zin
8. aug. 2012 15:10
#29: Bare for at være sikker, så tag TEXT-ONLY HTML. Sæt nu. ;-)
Gravatar #31 - Justin
8. aug. 2012 18:05
zin (28) skrev:
Når man råder til at stoppe med at bruge Java grundet sikkerhed, burde man så ikke også råde til at stoppe med at bruge Adobe Reader plugins? Mig bevidst er denne platform langt oftere offer for angreb end Java.


Nu kan man heldigvis finde andre PDF læserer, men har endnu ikke set andet end Java der virker sammen med NEM-ID
Gravatar #32 - arne_v
8. aug. 2012 18:58
#31

Ja.

Men de kan jo også have sårbarheder.
Gravatar #33 - Hubert
8. aug. 2012 19:51
arne_v (32) skrev:
#31

Ja.

Men de kan jo også have sårbarheder.


Foxit som man ofte ser anbefalet har såsandeligt haft sin del af sårbarheder. Der har vist også været nogle der er blevet misbrugt hvsi jeg ikke husker helt forkert.
Gravatar #34 - Justin
9. aug. 2012 08:24
arne_v (32) skrev:
#31

Ja.

Men de kan jo også have sårbarheder.

så må man jo vælge den man synts har mindst sårbarheder, hvis man har behov for af kunne læse PDF filer
Gravatar #35 - arne_v
9. aug. 2012 13:17
#34

Naturligvis.

Og for Java skal du vælge mellem om du har mest tiltro til Oracle, IBM, OpenJDK etc..

Men der er ingen garanti.

Og korrelationen mellem antal tidligere fundne fejl og antal fejl der bliver fundet i fremtiden er langtfra klar.
Gravatar #36 - arne_v
9. aug. 2012 17:45
http://www.javaworld.com/javaworld/jw-07-2012/1207...

har et par forslag til Oracle:
- bedre automatisk opdaterings så brugerne bliver hurtigere opdateret
- SDL i deres process
Gravatar #37 - Windcape
9. aug. 2012 18:43
arne_v (36) skrev:
bedre automatisk opdaterings så brugerne bliver hurtigere opdateret
Hvis de kunne fikse deres elendige opdateringsværktøj ville folk måske også bruge det.
Gravatar #38 - arne_v
10. aug. 2012 02:10
#37

Jeg tror at bedre i denne sammenhæng betyder mindre bruger interaktion.
Gravatar #39 - syska
10. aug. 2012 07:52
arne_v (38) skrev:
#37

Jeg tror at bedre i denne sammenhæng betyder mindre bruger interaktion.


Ja ... det kan der vist ikke være nogen tvivl om ... eller det kunne der så :-)

Do like Chrome ... så bliver alle glade :-)
Gravatar #40 - lorric
10. aug. 2012 08:16
syska (39) skrev:
Do like Chrome ... så bliver alle glade :-)

Hvis du med det mener "stay the hell away from my pc" så har du ret. :-)
Hvis du mener "autoopdatér uden at brugeren får noget at vide om det", så er vi bare uenige.
Gravatar #41 - syska
10. aug. 2012 08:20
lorric (40) skrev:
Hvis du med det mener "stay the hell away from my pc" så har du ret. :-)


Hahah ... så kan jeg næsten regne ud du ikke er på Chrome. IE9 er bare endnu for ringe ... FF er mærkelig ... så jeg er blevet nødt til det.

Men måske IE10 gør det bedre ... får vi at se.

lorric (40) skrev:
Hvis du mener "autoopdatér uden at brugeren får noget at vide om det", så er vi bare uenige.


Netop det jeg mener ... I hvert fald en option til det. Jeg er pisse ligeglad med Adobe Flash, Adobe Reader og lorte Java opdates ... smid dem nu bare ind og gør mig glad.

Jeg kan ikke se hvorfor jeg skal spilde min tid på at klikke så mange gange for at få en sølle opdate. :-(
Gravatar #42 - arne_v
10. aug. 2012 14:27
#41

Der er mange IT kyndige som ikke bryder sig om at programmer opdaterer sig selv uden at spørge.

Men det er den eneste måde at få de kendte hr. og fru Jensen holdt uptodate på.

I det segment opfattes ikke at gøre noget som værende mere sikkert end at gøre noget.
Gravatar #43 - syska
13. aug. 2012 13:28
arne_v (42) skrev:
Der er mange IT kyndige som ikke bryder sig om at programmer opdaterer sig selv uden at spørge.


Det kan jeg også godt forstå, men så skal der ikke komme så mange opdateringer.

arne_v (42) skrev:
Men det er den eneste måde at få de kendte hr. og fru Jensen holdt uptodate på.


Ja, men skal også kunne vælge at opt in/out alt efter hvem man er.

arne_v (42) skrev:
I det segment opfattes ikke at gøre noget som værende mere sikkert end at gøre noget.


Ved Home burde det være automatisk mens Business burde det være at sprøge ... ved ikke lige med de andre versioner.

Bare jeg slipper for at blive spurgt :-)
Gravatar #44 - Magten
13. aug. 2012 14:03
syska (43) skrev:
Det kan jeg også godt forstå, men så skal der ikke komme så mange opdateringer.
Med en ordentlig procedure for updates burde det ikke kræve alt for meget tid.. Og man kan jo nøjes med at tage de opdateringer med sikkerhedsfixes medmindre man har brug for de andre.
Gravatar #45 - syska
13. aug. 2012 14:11
Magten (44) skrev:
Med en ordentlig procedure for updates burde det ikke kræve alt for meget tid.. Og man kan jo nøjes med at tage de opdateringer med sikkerhedsfixes medmindre man har brug for de andre.


Tror vi snakker forbi hinanden her ... stort firma hvis de kan styre det, så er jeg enig.

Men for alle de private ... så er det at tage stilling til en knap nok og spild af tid. De har alligevel ingen coorporate application der sådan lige går nok ...
Gravatar #46 - Magten
13. aug. 2012 14:19
#45
Ah, my bad :)

Men ja, så er vi enige :)
Gravatar #47 - arne_v
13. aug. 2012 18:23
Magten (44) skrev:
Og man kan jo nøjes med at tage de opdateringer med sikkerhedsfixes medmindre man har brug for de andre.


For Java SE vil det være de fleste. SUN/Oracle bundter security og ikke-security fixes i en samlet update.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login