Alvorligt hul i Java står åbent

Artiklen blev oprindeligt publiceret den 27/8/2012

Angribere udnytter et hidtil ukendt sikkerhedshul i Java til at køre programmer på sårbare computere. Oracle har endnu ikke fjernet sårbarheden.

Sårbarheden findes i Java 7, men ikke i ældre versioner. Sikkerhedsfirmaer har set den anvendt i begrænsede, målrettede angreb. Men da der nu udvikles flere angrebsprogrammer, der udnytter den, kan der ventes flere angreb.

Indtil Oracle lukker sikkerhedshullet kan man beskytte sig ved at forhindre, at websteder kan køre programmer på ens computer.

En sikkerhedsforsker har udviklet en uofficiel sikkerhedsrettelse. Den kan skaffes via henvendelse pr. mail til sikkerhedsfirmaet Deep End Research. Der er ingen garanti for, at den virker.

Anbefaling
Undlad at køre programmer på websider, du ikke har tillid til.

Links

• Java 7 0-Day vulnerability information and mitigation, blogindlæg fra Deep End Research
• Zero-Day Season is Not Over Yet, blogindlæg fra FireEye
• Let's start the week with a new Java 0day, blogindlæg fra Metasploit