Farlig sikkerhetshull i Java

Farlig sikkerhetshull i Java

Alle plattformer er i faresonen etter at det ble oppdaget zero-day sikkerhetshull i Java 7.

E-skurkene har allerede begynt å utnytte sikkerhetshullet i Java 7, og feilen kan utnyttes i enhver nettleser på alle operativsystemer som har Java 7 update 6 installert, skriver Computerworlds nyhetstjeneste.

Allerede i bruk

Angripere har allerede begynt å utnytte sikkerhetshullet i målrettede angrep, skriver sikkerhetsforskeren Atif Mushtaq Fireeye i en bloggpost.

- Jeg har klart å utnytte sikkerhetshullet på testmaskinen min med den nyeste versjonen av Firefox og JRE versjon 1.7 update 6 installert, skriver Mushtaq.

Han har også sporet de målrettede angrepene til en ip-adresse i Kina, og melder at e-skurkene installerer skadevare ved hjelp av sikkerhetshullet, og at skadevaren kontrolleres fra en kommandoserver i Singapore.

Skadevaren ser ut til å være en versjon av Poison Ivy, en trojaner for fjernstyring som tidligere har vært brukt i en rekke angrep, mener sikkerhetsforsker Jamie Blasco ved Alienvault.

Nå advarer sikkerhetsforskerne om at det bare et et spørsmål om tid før noen slipper et proof-of-concept slik at flere e-skurker kaster seg på bølgen og begynner å utnytte sikkerhetshullet.

- Svært alvorlig

Sikkerhetshullet i Java 7 update 6 regnes for å være en svært alvorlig sikkerhetsutfordring fordi det lar en angriper kjøre skadekode uten at brukeren aner hva som skjer.

- Denne svakheten ser ut til å forbigå sikkerheten og tillater eksekvering av usikker kode utenfor sandkassen og uten at brukeren aner hva som skjer, sier Carsten Eiram sikkerhetssjef ved Secunia til Computerworld US.

Et annet sikkerhetsteam har testet og bekreftet det de alle frykter, nemlig at sikkerhetshullet kan utnyttes på alle operativsystemer via en hver nettleser så lenge Java 7 er installert på maskinen.

Teamet ved konsulentselskapet Accuvant har med hell utnyttet sikkerhetshullet på blant annet Ubuntu Linux 10.4 med Firefox, Windows med Internet Explorer, Firefox og Google Chrome og OS X 10.7.4 med Safari 6.

Må vente på Oracle

Selv om mange har funnet ut og bekreftet hvordan sikkerhetshullet i Java 7 update 6 kan utnyttes, så er det foreløpig ikke funnet noen måte å plugge hullet på.

- Vi kjenner ikke noe fiks eller løsning foruten å slå av eller avinstallere Java, sier Eiram i Secunia.

Andre sikkerhetsforskere er enige - den eneste måten å beskytte seg på er å ikke bruke Java, noe som ikke er et reelt alternativ for mange som er avhengige av Java i arbeidshverdagen.

Oracle har ikke svart på hendvendelser om når de vil komme med en fiks.

Sikkerhet