Gå til innhold

Skru av java igjen - java7u10

Gjest

Av Gjest
i IKT-drift og sikkerhet

Anbefalte innlegg

Gjest

Gjest

Skrevet
Skrevet (endret)

Da er på tide å skru av Java igjen folkens,

ikke lenge siden det var noe slikt og nå er det på'n igjen med en ny trusselfare som ble oppdaget i dag.

 

Det er nettlesere som er berørt som vanlig og og hvordan Java kan slåes av kan leses her.

 

Denne berører vist alle Java 7 versjoner frem til Java7u10

 

Kilde:

Vulnerability Note VU#625617

Endret av Gjest
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
LostOblivion

LostOblivion

Skrevet
Skrevet (endret)

Neida, du har helt rett, men denne sikkerhetshullfrykten for "Java" er i ferd med å bli en hypokondrisk farsott. Det er ikke noen flere sikkerhetshull i JVM enn i andre programmer, og det faktum at feilen allerede er påpekt er bare en god ting, for ikke å snakke om proprietær kildekode...

 

Og for å pirke ekstra mye og være en drittsekk, det er ikke et sikkerhetshull i Java, men i Oracles JVM-implementasjon. Java er et språk. Ville det gitt mening dersom noen påpekte at det var et sikkerhetshull i norsk?

Endret av LostOblivion
  • Liker 2
Lenke til kommentar
Gjest

Gjest

Skrevet
Skrevet

Du har helt rett, jeg skrev feil og mente selvfølgelig at det er et sikkerhetshull i JVM-implementasjon.

 

Men faktumet her er at faktisk Java er brukt av banker og nesten alle i Norge bruker Java nettopp for nettbanken sin. Dette hullet betyr faktisk at man laste ned en en keylogger eller annen ondartet-fil og kjøre som en administrator noe som er veldig skummelt for brukere.

 

Ville bare lage en "heads-up" for andre :)

Lenke til kommentar
Q&A

Q&A

Skrevet
Skrevet
Neida, du har helt rett, men denne sikkerhetshullfrykten for "Java" er i ferd med å bli en hypokondrisk farsott. Det er ikke noen flere sikkerhetshull i JVM enn i andre programmer, og det faktum at feilen allerede er påpekt er bare en god ting, for ikke å snakke om proprietær kildekode... Og for å pirke ekstra mye og være en drittsekk, det er ikke et sikkerhetshull i Java, men i Oracles JVM-implementasjon. Java er et språk. Ville det gitt mening dersom noen påpekte at det var et sikkerhetshull i norsk?

 

Er Norsis tullinger da, siden de anbefaler at du slår av java?

http://norsis.no/trusler/2013-01-10-Java.html

 

Ellers

An exploit for a previously unknown and currently unpatched vulnerability in Java is being used by cybercriminals to infect computers with malware, according to security researchers.

http://news.idg.no/cw/art.cfm?id=78B9B3C6-EE68-AD7A-4B6665A2C6831CA3

Dette er altså ikke bare et teoretisk problem.

Lenke til kommentar
nusperaspa

nusperaspa

Skrevet
Skrevet

Det er nettlesere som er berørt som vanlig og og hvordan Java kan slåes av kan leses her.

 

Denne berører vist alle Java 7 versjoner frem til Java7u10

 

 

Jeg hadde ikke mulighet til å slå av java i java control panel som vist på bildet i linken. Hadde bare de certificatesmulighetene som står nederst. :s

 

Slå av i firefox da, som jeg bruker. Holder det?

Lenke til kommentar
Faller

Faller

Skrevet
Skrevet

Ja, det må slåes av i firefox (og evt. andre nettlesere).

 

Og denne sårbarheten kan utnytte reklamesider, redirecting til sider med malware osv. På ingen måte hypokritisk sådan. Java har heller ikke vært trygt på lenge siden det er mange hull som ikke er tettet.

 

 

Mvh Faller

Lenke til kommentar
Dr.Geek

Dr.Geek

Skrevet
Skrevet (endret)

Ja, Java burde deaktiveres. En patch er ikke ventet før februar, men Oracle kommer antageligvis til å jobbe på spreng for å få til en patch før det.

 

Java-Exploitet brukes flittig av Exploitkits der ute, til blant ant å installere Ramsonmalware. Og dette er en form for malware man ikke vil ha på PCen sin:

http://thenextweb.co...ing-ransomware/

Endret av TheGenius
Lenke til kommentar
Faller

Faller

Skrevet
Skrevet

Java 7 update 11 tetter hullet som omtales i media.

 

Det fjerner midlertidig problemet. Det går nok ikke mange måneder før vi blir anbefalt å deaktivere Java igjen pga nytt sikkerhetshull. Selv om det da opprinnelig ikke er nytt på noen som helst måte, men heller et 1-2 år gammelt hull som Oracle ghar gitt en halvveis løsning på.

 

Jeg fatter ikke at BankID fortsatt tviholder på Java på tross av alt tullet som oppstår.

 

 

Mvh Faller

Lenke til kommentar
Delvis

Delvis

Skrevet
Skrevet

Det er ikke så lett. Noen av de siste exploitene kan bypasse sikkerhetsfunksjoner uten at brukeren merker det. Husker ikke hvor jeg leste det, men forskere hadde klart å starte calc.exe uten problemer etter at man var infisert.

 

 

Mvh Faller

 

 

Ja dette må jeg vedkjenne jeg ikke har noe greie på.

 

Men hvor riskikabelt er det egentlig å bruke Java?

Jeg bruker det i nettbank og hos Norsk tipping ( spiller på nettet) . Og hvis man betaler med kort brukes det jo også.

Har oppdatert den, og bruker Firefox nettleser.

 

I det siste har den deaktivert seg slik at jeg må aktivere den hver gang. Men bør en rett og slett unngå bruke Java nå da?

Hvor stor er egentlig risikoen, og hva er alternativet?

Lenke til kommentar
meitemark

meitemark

Skrevet
Skrevet (endret)

Finnes det noen måte å deaktivere Java på alle andre sider enn akkurat der man trenger det? Sette en begrensning på https og kun .no? I så tilfelle ville det jo løse 99% av angrepshullene.

 

(jeg tenker mest som en funksjon for de som ikke kan så mye om data, ref foreldre og slikt)

Endret av meitemark
Lenke til kommentar
GeirGrusom

GeirGrusom

Skrevet
Skrevet

Det fjerner midlertidig problemet. Det går nok ikke mange måneder før vi blir anbefalt å deaktivere Java igjen pga nytt sikkerhetshull. Selv om det da opprinnelig ikke er nytt på noen som helst måte, men heller et 1-2 år gammelt hull som Oracle ghar gitt en halvveis løsning på.

 

Jeg fatter ikke at BankID fortsatt tviholder på Java på tross av alt tullet som oppstår.

 

 

Mvh Faller

Fordi det er ikke noen problemer med BankID, og hva skal de bytte til? De fleste sier HTML5 uten å forsøke å sette seg inn i hva dette innebærer. Jeg tror de færreste engang forstår hva BankID gjør for noe.

 

Det er en signering- og identifiseringstjeneste. BankID har ingenting med kryptering av forbindelsen å gjøre som mange later til å tro. Det som er viktig med BankID er at løsningen er ansett som trygg nok til at den kan brukes til juridisk bindende signering av avtaledokumenter.

 

Det er ikke bare å bytte til en annen løsning når de føler for det.

Lenke til kommentar
Q&A

Q&A

Skrevet
Skrevet

Ja dette må jeg vedkjenne jeg ikke har noe greie på.

 

Men hvor riskikabelt er det egentlig å bruke Java?

Jeg bruker det i nettbank og hos Norsk tipping ( spiller på nettet) . Og hvis man betaler med kort brukes det jo også.

Har oppdatert den, og bruker Firefox nettleser.

 

I det siste har den deaktivert seg slik at jeg må aktivere den hver gang. Men bør en rett og slett unngå bruke Java nå da?

Hvor stor er egentlig risikoen, og hva er alternativet?

 

Firefox pleier å deaktivere Java hvis versjonen din begynner å bli gammel. De støtter vanligvis bare de to siste versjonene. Men jeg kan godt tenke meg at de har deaktivert 7u10.

 

Selv har jeg avinstallert Java. I nettbanken bruker jeg kontofonkoden. Skal heller installere i IE hvis jeg trenger BankID til netthandel (har klart meg uten så langt).

Lenke til kommentar
Faller

Faller

Skrevet
Skrevet

Ja dette må jeg vedkjenne jeg ikke har noe greie på.

 

Men hvor riskikabelt er det egentlig å bruke Java?

Jeg bruker det i nettbank og hos Norsk tipping ( spiller på nettet) . Og hvis man betaler med kort brukes det jo også.

Har oppdatert den, og bruker Firefox nettleser.

 

I det siste har den deaktivert seg slik at jeg må aktivere den hver gang. Men bør en rett og slett unngå bruke Java nå da?

Hvor stor er egentlig risikoen, og hva er alternativet?

 

Hvis du installerer siste versjon, så er du i alle fall litt tryggere. Det er nok ikke mange måneder til før vi får ny advarsel og anbefaling om å skru av Java, men enn så lenge går det greit. Hvis du i tillegg kun bruker pcen til det du nevner er du også ganske trygg. Men for all del; husk nettvett - det er den beste sikkerheten man har!

 

 

Fordi det er ikke noen problemer med BankID, og hva skal de bytte til? De fleste sier HTML5 uten å forsøke å sette seg inn i hva dette innebærer. Jeg tror de færreste engang forstår hva BankID gjør for noe.

 

Det er en signering- og identifiseringstjeneste. BankID har ingenting med kryptering av forbindelsen å gjøre som mange later til å tro. Det som er viktig med BankID er at løsningen er ansett som trygg nok til at den kan brukes til juridisk bindende signering av avtaledokumenter.

 

Det er ikke bare å bytte til en annen løsning når de føler for det.

 

Det er ikke selve BankID som er problemet, men heller at systemet kanskje er noe tunggrodd? Det er klart at Java har fungert godt i mange år, inntil Oracle ble slappere på patching av sikkerhetshull. Men leste akkurat denne: http://www.idg.no/computerworld/article264373.ece og jeg har full forståelse for at ting tar tid. Det er imidlertid positivt at BankID innser at Java kanskje ikke lenger er beste alternativ.

 

Personlig vet jeg ikke hva som ville vært et bedre valg enn Java rett og slett fordi jeg ikke er sååå bevandret i programmeringsverden. Jeg er mer opptatt av sikkerhetsaspektet.

 

 

Mvh Faller

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...