Alvorlig sikkerhetshull i Java - gjelder også OS X

av **admin** » ons 29.08.2012 16:00

Apple kastet nylig ut Java av standard distribusjonen i OS X og begrunnet denne «utkastelsen» med sikkerhetsproblemer i Java. Apple selv har aldri vært spesielt flinke til å oppdatere Java og sikkerhetsutfordringene Apple begrunnet utkastelsen med har denne uka blitt mer tydlig.

Det finnes nå nemlig et alvorlig sikkerhetshull i siste utgave av Java og foreløpig finnes det ingen feilrettinger fra Oracle. Hullet kan også påvirke oss Mac-brukere.

Feilen som nylig ble oppdaget i Java rammer alle operativsystemer (OS X, Windows og Linux) og fungerer på tvers av nettlesere. Feilen gjør det mulig for en ondsinnet person å lede deg inn på en nettside som deretter automatisk kjører Java og laster ned en lokal applikasjon som kan kjøres på OS X.

Hullet er gjeldende i versjon 1.7 og nyere av Java Runtime Enviornment - også update 6 som ble sluppet for kun et par måneder siden. Hullet skal også være testet og fungere i Firefox, Chrome og Safari under Mountain Lion.

Foreløpig finnes det ikke noen trusler som benytter dette hullet, men gitt at nesten alle fjorårets og årets trojanere - inkludert Flashback som spredde seg til mange Macer - ble distribuert gjennom sikkerhetshull i Java og/eller Flash er det rom for bekymring.

Siden det foreløpig ikke finnes en oppdatering er det sikreste man kan gjøre å slå av Java i Safari eller nettleseren man benytter. I tillegg bør man være oppmerksom på hvilke nettsider man besøker og holde seg unna lyssky sider. Java kan slås av under «Sikkerhet» i Safari sine valg.

Alvorlig sikkerhetshull i Java - gjelder også OS X

Merk at BankID dessverre krever Java og dermed ikke vil fungere hvis du slår dette av i Safari eller andre nettlesere. Inntil dette hullet er tettet kan det være smart å ha Java slått av i din generelle nettleser og heller benytte en annen nettleser med påslått Java for BankID.

av **unalfcbmessi** » ons 29.08.2012 16:21

Dere sier benytt en annen nettleser med påslått Java for BankID. Hva er forskjellen da man bruker en annen nettleser? Jeg bruker Safari til vanlig, så om jeg bruker Chrome frem til problemet er løst. Hva skal det hjelpe? OG, skal man slå av Javascript? Eller bare Java. Lurer på dette, håper noen kan svare

av **admin** » ons 29.08.2012 16:23

Hvis du bruker Safari til vanlig, så slår du av Java i denne og bruker Chrome kun til BankID/nettbank. Da er du safe på alt du gjør i Safari og i Chrome vil du ikke ha noen problemer siden du kun benytter BankID på bankenes nettsider.

av **iSkf95** » ons 29.08.2012 16:26

Tror forfatter mener følgende:

I stedet for å slå av og på Java i Safari, kan du ha det av permanent, men midlertidig (altså fram til en fiks kommer), og bruke en annen nettleser med Java påslått hele tiden de gangene en trenger det.

Det enkleste er vel å sku av Java, og skru det på de gangene du har behov for det, for deretter å skru det av igjen.

av **jpsalvesen** » ons 29.08.2012 16:31

Jo, @unalfcbmessi, om du gjør resten av surfingen din med java avslått så vil du ikke eksponere deg for sårbarheten - det er ikke godt å vite hvor du kan se en infisert annonse eller forumpost...

De få gangene du skal bruke banken din, så bruker du chrome.

Da har du effektivt fjernet eksponeringen din for denne sårbarheten.

av **SeaLion** » ons 29.08.2012 17:42

Oppklaring:
Java og javascript har ikke noe annet til felles enn navnelikheten. Det er altså ikke noe poeng i å "helgardere" ved å slå av både Java og javascript.

av **Lars A. Gundersen** » ons 29.08.2012 19:00

Angrep er nå på nett som benytter sårbarheten:
http://www.vg.no/teknologi/artikkel.php?artid=10068273

av **Seraphiel** » ons 29.08.2012 20:02

Bruker du mobil som kodebrikke så behøver du ikke Java. Gikk fint i går for meg å logge meg inn hos DNB med Java slått av.

av **musepsycho** » ons 29.08.2012 20:15

Jeg bruker mest Firefox men finner ingen steder å slå av Java der... Hjelp?

av **Mac11e** » ons 29.08.2012 21:38

DnB tilbyr innlogging uten java via på nettsiden sin så lenge du har kodebrikke, passordkalkulator eller BankID på mobilen. Mulig flere banker tilbyr lignende løsninger, det skal jeg ikke svare sikkert på.

av **sveian2** » tor 30.08.2012 7:16

se under "tools" - "add-ons" - "plugins" - "Java applet plug-in" trykk på "disable".

av **shakerz** » tor 30.08.2012 9:42

Hvis sikkerhetshullet bare eksisterer i Java 1.7 og nyere så er det vel ikke noe stort problem for macbrukere. Alle mine maskiner har Java 1.6 og jeg har kjørt alle oppdateringer.

av **pg12aa** » tor 30.08.2012 11:09

Dette gjelder for Java 7, som svært få med Mac har installert. Du må ha lastet det ned og installert det selv fra Oracle. Hvis du har installert Java på vanlig måte på Mac så kjører du Java 6 som ikke har det sikkerhetshullet som er beskrevet her. Det betyr ikke at man skal være forsiktig med bruk av Java og andre nettleser-plugins. Java 6 på Mac har jo også hatt sine utfordringer tidligere, men det vel ingen kjente slike sikkerhetshull i nyeste versjon av Java 6.

av **CausingHickory** » tor 30.08.2012 11:42

OS X bruker java versjon 6.33 og det er andre sårbarheter knyttet til denne versjonen, så den er ikke mer sikker enn V7.6. Dessverre.

av **Lars A. Gundersen** » tor 30.08.2012 14:42

Men, er ikke egentlig Safari sandboxed på 10.7 og 10.8, nettopp for å bøte på slike farer?

Verktøy

Siste fra forum

Alvorlig sikkerhetshull i Java - gjelder også OS X

Alvorlig sikkerhetshull i Java - gjelder også OS X

Dere sier benytt en annen

Hvis du bruker Safari til

Tror forfatter mener

Jo, @unalfcbmessi, om du

Oppklaring: Java og

Re: Alvorlig sikkerhetshull i Java - gjelder også OS X

BankID Mobil

Jeg bruker mest Firefox men

DnB tilbyr innlogging uten

Jeg bruker mest Firefox men finner ingen steder å slå av Jav

Hvis sikkerhetshullet bare

Få som har denne versjonen av Java på Mac

OS X bruker java versjon

Re: Alvorlig sikkerhetshull i Java - gjelder også OS X

Hvem er i Forumene