mboost-dp1

Sun

Så er den igen gal med Java

- Via Version2 - , indsendt af thimon

Der er igen fundet et sikkerhedshul i Java, der kan give fuld adgang til brugerens pc. Fejlen rammer også sidste nye version af Java. Det skriver Version2.

Danmark er specielt hårdt ramt når en sådan fejl findes i Java, da danskerne er tvunget til at bruge NemID, der kun kan bruges sammen med Java. Dette gør Danmark meget interessant for IT-kriminelle.

Både Secunia og DK-CERT anbefaler, at man helt slår java fra i sin browser og bruger en anden browser end den man plejer at bruge, når man har brug for java, eks. sin netbank. De påpeger at exploits, der udnytter sikkerhedshullet, allerede florerer på nettet og sælges mellem de IT-kriminelle.

Nets DanID mener ikke det er nødvendigt at tage sådanne forholdsregler, så længe man sørger for at holde sine programmer opdaterede. Denne holdning fastholder de, til trods for at selv sidste nye version af Java også er kompromitteret.

Søren Winge, pressechef Nets skrev:
Nej, vi mener, at man kan bruge sin computer, som man plejer. Vi kan selvfølgelig godt følge argumentationen, men det er ikke en anbefaling, vi kan give. Vi mener ikke, at sikkerhedsrisikoen er til stede for, at det er nødvendigt at skulle tage den forholdsregel.





Gå til bund
Gravatar #51 - HerrMansen
13. jan. 2013 12:41
ITemplate (49) skrev:
BurningShadow (47) skrev:
#46

Lige til netbank, og offentlige sider, kan du vel godt bruge en ældre version, som f.eks. XP?

[edit]eller mener du at VirtualBox ikke virker på Win8, og ikke omvendt, som jeg først læste det?[/edit]


Det er VirtualBox der ikke funker korrekt med Win8. Efter install virkede mit netværk ikke, og jeg afinstallerede den med det samme. Tror lige jeg vil prøve igen - der må være andre der har oplevet samme problemer...


Er det ikke fordi at VirtualBox prøver at lave en DHCP server på dit netværk? Mener da jeg kan huske totalt kaos tilbage på Teknisk Skole hvor "vi" lagde netværket ned en half dag fordi 100 elever skulle afprøve Vbox uden en lærer der havde erfaring med programmet.
Gravatar #52 - bbb2020
13. jan. 2013 19:55
Løsningen til dette hul skulle være, i Win og med IE, at gå ind i browserens indstillinger og deaktiverer tilføjelsesprogrammerne for Java.

Mine tilføjelsesprogrammer er deaktiveret, men jeg kan da godt logge på netbank med Nemid alligevel. Man undres.

Kan se at der er kommet en update til Java nu, så nu kan vi tage det rolig igen, lige indtil næste hul.
Gravatar #53 - arne_v
13. jan. 2013 20:52
bbb2020 (52) skrev:
Løsningen til dette hul skulle være, i Win og med IE, at gå ind i browserens indstillinger og deaktiverer tilføjelsesprogrammerne for Java.

Mine tilføjelsesprogrammer er deaktiveret, men jeg kan da godt logge på netbank med Nemid alligevel. Man undres.


Den disable er vist gået i koks.
Gravatar #54 - arne_v
13. jan. 2013 20:53
bbb2020 (52) skrev:
Kan se at der er kommet en update til Java nu, så nu kan vi tage det rolig igen, l


7u11 er ude - jeg har ikke set 6u39 endnu.
Gravatar #55 - arne_v
13. jan. 2013 20:54
#54

For dem som vil have 7u11 ASAP, så find jucheck.exe og kør den.

(Windows)
Gravatar #56 - apkat
13. jan. 2013 21:49
og til mac kan den hentes her: http://www.java.com/en/download/mac_download.jsp?l...
Gravatar #57 - gramps
13. jan. 2013 21:54
#55
Det er sgu utroligt at man Java ikke kan få en silent update fra Oracle af. Secunia PSI kan gøre det, men hvorfor er man nødt til at have et tredjepartsprogram? Oracle.......
Gravatar #58 - Sikots
14. jan. 2013 00:44
... og så kom Java 7 Update 11 ;D
Gravatar #59 - arne_v
14. jan. 2013 02:29
#Java update

To noter:

1) husk og svar nej til det ask.com crapware install gerne vil have lov at installere

2) fra 7u10 spørger den som default hver gang den vil køre en applet - den sikkerheds bekymrede skal nok beholde den default
Gravatar #60 - arne_v
14. jan. 2013 02:31
arne_v (59) skrev:
2) fra 7u10 spørger den som default hver gang den vil køre en applet - den sikkerheds bekymrede skal nok beholde den default


Lidt irriterende i Chrome - først spørger Chrome og så spørger Java.
Gravatar #61 - arne_v
14. jan. 2013 02:56
RobertL (23) skrev:
http://en.wikipedia.org/wiki/Comparison_of_Java_and_C%2B%2B

Sat lidt på spidsen kan man nok sige at Java er C-code der kan køre på en hvilken som helst plat-form..


Det er så en af de mindre heldige artikler på wikipedia. Der er godt nok mange uheldige formuleringer i den.
Gravatar #62 - arne_v
14. jan. 2013 03:04
lorric (48) skrev:
#44 Jeg stillede på et tidspunkt det samme spørgsmål og fik et par svar. Se http://newz.dk/java-sikkerhedsopdatering-hjalp-ikk...


Jo men svarene er ikke specielt imponerende.

Generelt foreslåes der helt almindelig HTML form submit over HTTPS.

NemID løsningen gør jo mere end det.

Hvis man ikke er klar over det eller hvis man tror at NETS folkene aldrig har hørt om HTML form submit over HTTPS, så skal man nok ikke gøre sig klog på alternative løsninger.

Er man klar over det men vælger ikke at forklare, hvorfor man ikke synes at de ting der sker idag er godt, så er det jo ikke et ærligt svar.
Gravatar #63 - arne_v
14. jan. 2013 03:50
arne_v (59) skrev:
2) fra 7u10 spørger den som default hver gang den vil køre en applet - den sikkerheds bekymrede skal nok beholde den default


Fra dokumentationen:


Setting the Security Level of Unsigned Apps

Note: These settings affect all browsers that use Oracle's Java browser plug-in. They do not affect desktop (also called stand alone) Java apps.

A Security Level slider has been added to the Java Control Panel (under the Security tab) to control the behavior when attempting to run unsigned apps (either from the web or local). The user can select low, medium, high or very high security settings. There are fewer security warnings at the lowest setting. While it is called the "Security Level control" (or slider), it can be thought of as the ability to control the level of notification you will receive when the browser attempts to run unsigned Java apps.

The following list summarizes the behavior of the different levels:

Low

Most unsigned Java apps in the browser will run without prompting unless they request access to a specific old version or to protected resources on the system.

Medium

Unsigned Java apps in the browser will run without prompting only if the Java version is considered secure. (The JRE version should be at or above the latest security update release of Java from Oracle.) You will be prompted if an unsigned app requests to run on an old version of Java. To download the latest version of Java, go to java.com.

High

You will be prompted before any unsigned Java app runs in the browser. If the JRE is below the security baseline, you will be given an option to update.

Very High

Unsigned (sandboxed) apps will not run.

The default security level is High.

Additionally, there are two checkboxes available in the Java Control Panel (under the Advanced tab) that are relevant to unsigned apps:

Show sandbox warning banner

Disables the warning icon that appears next to top level windows opened from an unsigned app.

Allow user to accept JNLP security requests

Allows an unsigned app that is deployed via JNLP to ask the user for increased access to computer resources like the hard drive or the printer.

Gravatar #64 - dk_picard
14. jan. 2013 09:20
Så er der udgivet en opdatering af java der skulle rette sikkerhedshullet.
Gravatar #65 - idiotiskelogin
14. jan. 2013 10:12
KAMMERATER!!!!!! SÅ ER DEN GAL IGEN!!
Gravatar #66 - ITemplate
14. jan. 2013 11:18
HerrMansen (51) skrev:
Er det ikke fordi at VirtualBox prøver at lave en DHCP server på dit netværk? Mener da jeg kan huske totalt kaos tilbage på Teknisk Skole hvor "vi" lagde netværket ned en half dag fordi 100 elever skulle afprøve Vbox uden en lærer der havde erfaring med programmet.


Nej så ville min server have brokket sig skulle jeg mene. Det minder mere om dette. Lidt gammel tråd men det er præcis det samme jeg oplever med Win8.

--
Gravatar #67 - arne_v
14. jan. 2013 14:22
#63

Den opmærksomme læser har nok allerede regnet det ud, men for dem som kun skal bruge Java till NemID er ovenstående jo perfekt.

1) sæt security level til very high
2) godkend kun NemID signed applet

så vil Java kun køre NemID applet og ingen andre applets.
Gravatar #68 - Fanatiskfanboy
14. jan. 2013 15:16
#67
så vil Java kun køre NemID applet og ingen andre applets. skrev:

Er det ikke også rigeligt at DanID samt alle offentlige myndigheder, herunder PET har fuld adgang til ens computer?

Så vil jeg hellere undvære. Tak til VirtualBox for at jeg ikke skal ned i banken og betale 25 kroner i gebyr hver gang jeg får et giro-kort.
Gravatar #69 - arne_v
14. jan. 2013 15:21
Fanatiskfanboy (68) skrev:
Er det ikke også rigeligt at DanID samt alle offentlige myndigheder, herunder PET har fuld adgang til ens computer?


Der er gode råd mod den slags.

Sølvpapir hatte siges at hjælpe.
Gravatar #70 - Clauzii
14. jan. 2013 22:23
arne_v (55) skrev:
#54

For dem som vil have 7u11 ASAP, så find jucheck.exe og kør den.

(Windows)


Medmindre man er afhængig af gamle versioner, er det en god ide at afinstallere den gamle først.
Gravatar #71 - arne_v
15. jan. 2013 00:43
#70

Updates burde overskrive den gamle version ikke lægge sig ved siden af.
Gravatar #72 - freesoft
15. jan. 2013 08:53
#71
Ja, det gør Java vist også nu. Men tidligere har de gamle stadig været der efter update, i hvert fald hvad jeg har oplevet..
Gravatar #73 - Jakob Jakobsen
15. jan. 2013 09:07
Jeg prøvede bare at opdatere, hvilket resulterede i at Chrome og IE ikke mente at jeg havde Java installeret.
Først efter jeg havde fjernet Java, genstartet og reinstalleret, virkede det.

Det er dog ikke noget jeg har været ude for før.
Gravatar #74 - gramps
15. jan. 2013 09:13
#73
Jeg har også installeret Java et par gange selv og ladet både Soluto og Secunia PSI tage sig af det. Ifølge begge programmer har jeg seneste version af Java installeret, men Chrome mener at Java er forældet.
Gravatar #75 - Manofsciencemanoffaith
15. jan. 2013 09:53
Jakob Jakobsen (73) skrev:
Jeg prøvede bare at opdatere, hvilket resulterede i at Chrome og IE ikke mente at jeg havde Java installeret.


Det problem havde jeg også. Efter lidt Googling fandt jeg ud af, at en afinstallation af JavaFX løste problemet.
Gravatar #76 - arne_v
15. jan. 2013 14:14
#75

Ja. Det er en rigtig grim detalje.

Installeren kan overskrive game Java SE versioner men ikke gamle JavaFX versioner.

Det er i release notes, men det er jo nok en meget lille del af Danmarks befolkning som læser release notes for Java.
Gravatar #77 - arne_v
15. jan. 2013 14:15
#76

Og før nogen undrer sig. Man har ikke brug for den gamle JavaFX version, da JavaFX er inkluderet i den nye Java SE man installerer.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login