Seneste forumindlæg
Køb / Salg
 * Uofficiel Black/White liste V3
Login / opret bruger

Nyheder

Oracle Opdaterer Kritisk Sikkerhedshul I Java

Skrevet af Daniel M. Jensen | 14-01-2013 12:50 | 7205 visninger | 25 kommentarer, hop til seneste

Efter det kom frem at der var store sikkerhedshuller i Java som kunne give fuld adgang til brugerens computer, har Oracle arbejdet på højtryk for at få lukket dette hul.

De anbefaler at alle SE-7 brugere opdaterer deres Java, så det igen er sikkert at bruge fx NemID, som er påvirket af dette hul herhjemme.

Følg linket nederst, for at opdatere din Java.

Kilde: https://blogs.oracle.com/java/entry/java_vulnerabilities_addressed

#1
SomR
Maxibruger
14-01-2013 12:55

Rapporter til Admin
Hvordan skulle NemID overhovedet være blevet påvirket? jeg loggede sgu bare ind på min netbank alligevel, er da røv ligeglad (også fordi den bare står i minus) men alligevel.. NemID ændre kode hver gang du logger ind og derved er chancen for at lige nøjagtig din PC er hacket på lige nøjagtigt det tidspunkt hvor du logger ind er simpelthen så lille. Men super at de har fixet det.
--
#2
Dozer
Skribent
14-01-2013 13:00

Rapporter til Admin
Jeg kunne forestille mig at hackers kan opsamle din åbne session, så de logger ind "sammen" med dig, og derved har fuld adgang til alt hvad du foretager dig, og derved også dine person-følsomme data som man kan finde i fx sin netbank. - Dozer
--
Mongollærling #3
#3
teletown.dk
Mega Supporter
14-01-2013 13:03

Rapporter til Admin
Jeg mener at denne opdate IKKE lukker sikkerhedshullet i JAVA.. Det skulle bare gøre at man for bedre oplysning om at der er et problem...
--
Vh. Johnny
#4
Fjummer
HOL Moderator
14-01-2013 13:09

Rapporter til Admin
#3 Nej, de er fixet
--
Yea though I walk through the valley of the shadow of death I will fear no evil for I am the god of death.
#5
stallemanden
HOL Moderator
14-01-2013 13:10

Rapporter til Admin
#1 Problemet er ikke din nemID som sådan, men det at nemID benytter Java, som gør at du er afhængig af det. Problemet opstår, når sikkerheds hullet ER blevet udnyttet mod dig. Dem der har udnyttet det, vil have fuld adgang til din PC. Det de så potentielt kunne gøre, skulle man forestille sig de havde kendskab til nemID var, at de næste gang du logger på med nemid, giver dig en "falsk applet". Du taster altså gladeligt din kode ind, men uden og vide hvad den bliver brugt til. Du bliver promptet med en fejl om at du ikke kunne logge ind, og at du skal prøve igen. Alt imens vedkommende der har narret dig, sidder med den kode du lige har angivet, og kan logge ind i din netbank med den.
--
+1 indlæg = *PUFF*
#6
Gæsten
Gæst
14-01-2013 13:24

Rapporter til Admin
"Efter det kom frem at der var store sikkerhedshuller i Java som kunne give fuld adgang til brugerens computer, har Oracle arbejdet på højtryk for at få lukket dette hul." Passer nu ikke helt, Oracle har kendt til fejlen i over et halvt år.
--
Gæstebruger, opret dit eget login og få din egen signatur.
#7
Azakiel
Skribent
14-01-2013 13:32

Rapporter til Admin
#6 Derfor kan de da godt have arbejdet på fuld højtryk for at lukke hullet alligevel, det tager jo typisk lidt tid at ændre ting i et program.
--
Veni, Vidi, Vici
#8
stallemanden
HOL Moderator
14-01-2013 13:38

Rapporter til Admin
#6 Jeg kender ikke din kilde på det halve år, og vil derfor ikke sige den i mod. Men jeg forestiller mig, (Jeg er ikke udvikler ved Oracle, så jeg gætter i det her tilfælde) at man godt kan have kendt til problemet i længere tid, men har prioriteret anderledes i forhold til at lukke hullet, fordi det ikke har været så udbredt/kendt et problem offentligt? Når det er blevet det, har man så sat alle kræfter ind på og fikse det? Det virker til, at du kender væsentligt mere til historien så du må endelig skyde mine gætterier ned, i det tilfælde dette er muligt.
--
+1 indlæg = *PUFF*
#9
L.T. Hansen
Ultra Nørd
14-01-2013 14:12

Rapporter til Admin
IT-sikkerheds nyheder på hold.dk, det er godt at se. Åbne jeres netbank i en virtuel maskine, som du ik bruger til andet ind netbank - hvis du er paranoid ;).
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P
#10
DKWolf
Maxi Nørd
14-01-2013 14:16

Rapporter til Admin
#9 hvorfor ikke gå længere, hæv alle dine penge og opbevar dem i din madras :)
--
google.com det er ikke så svært vel...
#11
HunterKiller
Giga Nørd
14-01-2013 14:19

Rapporter til Admin
Også har de ikke engang rettet hullet Det denne update gør er at hæve default sikkerhedsindstillingerne så man vil blive promptet før alle 3. parts applets bliver loadet
--
Linux, både privat og professionelt Bump? No answer
#12
Fjummer
HOL Moderator
14-01-2013 14:25

Rapporter til Admin
#11 De har lukket et par hullet og ændret default sikkerheds niveau, så det er fixet
--
Yea though I walk through the valley of the shadow of death I will fear no evil for I am the god of death.
#13
jensemand51
Mega Supporter
14-01-2013 17:26

Rapporter til Admin
og kan det passe at man efter installation af opdateringen ikke kan loade nem-id java applikationer på de forskellige hjemmesider (?) jeg kan ikke i hvert fald. Tænker det drejer sig om at de respektive hjemmesider (fx danske bank netbank) ikke genkender update 11 som sidste nye?
--
MSI Z77A-GD65 m. CI7 3770K + 16gb RAM Gigabyte 670GTX 2 x 256gb Vertex 4 SSD + 3TB lager 32" UE32D6515 skærm + 1 x Asus UX31A
#14
LocoWella
Bruger Aspirant
14-01-2013 18:19

Rapporter til Admin
Som folk siger, så er det JAVA der er problemet. Sikkerheds hullet gør, at hackere kan lægge en skadelig kode i din JAVA installering. Denne kode kan aktiveres fx når du går ind på din Netbank, den kan også aktivere sig selv, skjult som fx Netbank. Så når koden aktiverer sig selv, kan PCen fx tro, at det 'bare' er Netbank, der vil køre. Eksperterne anbefaler faktisk, at man helt deaktiverer sin JAVA i sin browser, eller afinstallerer JAVA, indtil man har opdateret den. Efter man har opdateret den, er det ikke engang en garanti for at systemet bliver sikkert. Så vidt jeg kunne forstå, gør opdateringen ikke meget andet end at sætte sikkerhedsnivauet i JAVA på High som standard, dvs at JAVA blokerer for alle 3. parts programmer i at køre, så der kommer en popup hvis et 3.parts program forsøger at køre. Men hackerne kan stadig forklæde deres kode som fx netID eller den infamøse Jusched, og kan derfor stadig få adgang til din computer selvom du har opdateret din JAVA platform. Selvom danske sikkerheds eksperter siger god for, at JAVA er sikker og køre igen, anbefaler amerikanske eksperter stadig at holde sig fra JAVA sessioner medmindre det er absolut nødvendigt. Netop fordi at hackerne kan skjule koden i en 'godkendt' session, som fx nemID
--
Mer Grønlænder til folket! ,)
#15
Fjummer
HOL Moderator
14-01-2013 19:13

Rapporter til Admin
#14 Hvor har folk det fra at hullet ikke er lappet? Java opdateringen har 1: Lappet 2 huller og 2: Sat standard niveauet op til høj.
--
Yea though I walk through the valley of the shadow of death I will fear no evil for I am the god of death.
#16
Mcbutt
Nørd Aspirant
15-01-2013 03:48

Rapporter til Admin
Syntes da tit Java selv opdaterer, men da jeg gik ind for at kigge på deres side var versionen på compen mere end 1.0 dut gammel. >_
--
Phenom II X4 965 | ASUS M4A79T Deluxe | Kingston 8GB DDR3 |Sapphire HD5850 | Corsair H50 | Corsair HX750W | WD raptor & Greenpower
#17
L.T. Hansen
Ultra Nørd
15-01-2013 11:16

Rapporter til Admin
#10 - ahh.., vil godt havde en form for backup, hvis jeg selv skal sørger for det ;). og kopier seddlerne og ligge dem i et andet hus/grave dem ned, tror jeg ikke lige går ;)
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P
#18
bzRo
Supporter
15-01-2013 21:35

Rapporter til Admin
#14 http://www.version2.dk[...] http://www.version2.dk[...] Her er lidt læsestof, man må gå ud fra at de ved hvad de snakker om, så hullet burde være lukket
--
i5 2500K @ 4.8GHz | 8GB Dominator | GA-Z68X-UD4-BA3 | HD7970 | Corsair 600T Black | Crucial m4 128gb | Corsair H100 | CM Silent Pro Gold 1000W
#19
bzRo
Supporter
15-01-2013 21:47

Rapporter til Admin
Hmm, det kan godt være de ikke har ret alligevel. Fandt lige dem her: http://betanews.com[...] http://www.guardian.co.uk[...]
--
i5 2500K @ 4.8GHz | 8GB Dominator | GA-Z68X-UD4-BA3 | HD7970 | Corsair 600T Black | Crucial m4 128gb | Corsair H100 | CM Silent Pro Gold 1000W
#20
Eidolon
Super Nørd
15-01-2013 21:47

Rapporter til Admin
http://seclists.org[...] Adam Gowdiak beskriver her hvordan han allerede i oktober havde advaret Oracle om dette problem... http://www.kb.cert.org[...] Amerikanske Vulnerabilities Notes Database advarer imod fortsatte huller, dog ikke samme hul, som er rettet i v7 update 11, men lignende fejl. https://blogs.oracle.com[...] Eric Maurice fra Oracle, bekræfter selv i sin blog at hullet er lukket med update 11. Så tror jeg der skulle findes kilder nok til at mane alle de rygter i jorden.
--
"Remember, amateurs built the Ark. Professionals built the Titanic." - Richard J. Sexton
#21
bzRo
Supporter
15-01-2013 21:50

Rapporter til Admin
Problemet nu, er vel at man som bruger bliver prompted ved java applets med unknown source/certifikater (hvis jeg har forstået det korrekt), og at disse certifikater sagtens kan forfalskes = stadig ingen sikkerhed?
--
i5 2500K @ 4.8GHz | 8GB Dominator | GA-Z68X-UD4-BA3 | HD7970 | Corsair 600T Black | Crucial m4 128gb | Corsair H100 | CM Silent Pro Gold 1000W
#22
L.T. Hansen
Ultra Nørd
17-01-2013 15:02

Rapporter til Admin
#21 - forfalskes, jooo?? Du kan jo bare lave din egen kopi applet, hvor der står Danid osv. så tror brugeren det er den "rigtige". Det er i hvert fald et af problemerne... nu der også lige kommet en ny exploit ud til java, den anden er dårlig nok blevet løst.
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P
#23
Timesheep
Bruger Aspirant
23-01-2013 11:29

Rapporter til Admin
NemID er påvirket fordi det kører Java. Men i denne forbindelse kræver det stadig at nogen bruger en eller anden form for spoofing for at erstatte NemID appletten med en falsk. I det store hele... Hvem fanden bruger Java til noget så vigtigt som NemID? Jeg har sgu aldrig set de andre API-baserede OpenAuth systemer fejle noget, og det er da rent HTML/PHP.
--
Sometimes you just wish you were me
#24
Jacob XP
Mega Nørd
02-02-2013 17:35

Rapporter til Admin
Java 7 Update 13 er nu tilgængelig. Nemmeste er nok at gå ind i kontrolpanel og søge efter opdatering. lidt mere info her: http://www.oracle.com[...]
--
A clean house is a sign of a broken computer
#25
Eidolon
Super Nørd
06-02-2013 10:56

Rapporter til Admin
Mac brugere med snow leopard, skal bare køre en software update.
--
"Remember, amateurs built the Ark. Professionals built the Titanic." - Richard J. Sexton

Opret svar til nyheden: Oracle Opdaterer Kritisk Sikkerhedshul I Java

Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.

Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.

Opret bruger | Login
NYHEDSBREV
Afstemning