Javahull utnyttes allerede i angrep

Javahull utnyttes allerede i angrep

Nettsted for sangtekster sender intetanende brukere til Russland.

Tidlig denne uken ble det slått alarm om en kritisk sårbarhet i Java Web Start. Nå er sårbarheten i ferd med å bli utnyttet.

Hackere har ifølge Avg Technologies trikset med iframes på siden Songlyrics.com, slik at denne i det skjulte sender brukere til en russisk side som installerer ondsinnet programvare via javahullet, skriver Computerworlds nyhetstjeneste.

I samme slengen vil den russiske nettsiden mate den intetanende brukeren med en hel haug andre angrep.

- Det er typisk, de hiver en hel haug utnyttelser av sårbarheter mot brukere og ser hva som fester seg, sier Roger Thompson i Avg.

- Oppdater Opera

Folk med Firefox og Internet Explorer der Java er aktivert, er alle i faresonen. Ifølge Thompson ser Chrome ut til å være trygg, men han vil ikke gi noen garantier. Ifølge kommunikasjonssjef Tor Odland i Opera, må nettleseren deres oppdateres for å være trygg.

- Opera har et kort i ermet som heter browser.js. Dette beskytter våre brukere mot sikkerhetsproblemer i en separat applikasjon - i dette tilfellet Java. Vil du oppdatere nettleseren umiddelbart, går du til «Sjekk for oppdateringer» i menyen, eller så kan du lene seg tilbake og vente på den automatiske, ukentlige oppdateringen, sier Odland til Computerworld.

Frykter følgene

Google-forskeren Travis Ormandy, som oppdaget hullet, har varslet Java-eier Oracle/Sun, men de har fortalt ham at de ikke vil sende ut hurtigfiks.

Neste lapping av Java er ikke før juli. Oracle ønsket ikke å kommentere saken overfor Computerworlds nyhetstjeneste. Men Thompson er stresset.

- Dette vil være overalt snart, så Sun er nødt til å sende ut lappesaker utenfor syklus, sier han.

Mens man venter på lappesaker kan brukere midlertidig benytte seg av en metode Ormandy har publisert. Den kan du finne her, men fremgangsmåten er ikke akkurat noe for en mindre kyndig databruker.

Les om:

Utvikling