Efter sikkerhedshul: Ekspert beder dig fjerne Java

lath · Indlæg af **lath** » 10. jan 2013, 23:08

Jeg har placeret det her blog inlæg i Off-topic, da der ikke er et subforum for Sikkerhed.

Efter sikkerhedshul: Ekspert beder dig fjerne Java fra computeren
http://www.version2.dk/artikel/efter-sikkerhedshul-ekspert-beder-dig-fjerne-java-fra-computeren-49774

I praksis skal man jo bruge NemID, så jeg kigger efter en tilføjelse der spørger før et plugin køres - helst kun Java applets.
På den måde kan man altid trykke Ja til at at starte NemID java appletten, når du ved at du er ved at lave noget der kræver brug af NemID, og i alle andre tilfælde svare nej.

/Lars

Toddvarg · Indlæg af **Toddvarg** » 11. jan 2013, 01:55

Jeg antager, da jeg bruger icedTea, så skulle det være ok

lath · Indlæg af **lath** » 11. jan 2013, 02:32

Toddvarg skrev:Jeg antager, da jeg bruger icedTea, så skulle det være ok

Det kan du ikke være sikker på.

Sikkerhedshullet kan sagtens følge flere versioner af en JRE, samt være i forskellige JREer da sikkerhedshullet omhandler samme funktionalitet der implementeres (kodes) identisk på flere forskellige JREer.

/Lars

Toddvarg · Indlæg af **Toddvarg** » 11. jan 2013, 03:16

Vil det sige at Ubuntu's egen java ikke er sikker? Jeg troede at den var mere sikker, da den er en del af styresystemet ( eller det er den måske ikke) i modsætning til Oracle java, der er 3.parts

Indlæg af **AJenbo** » 11. jan 2013, 04:16

I firefox kan du rimelig let deaktivere og aktivere plugins via værktøjer->udvidelser (kræver genstart).
Chrome kan man sætte til at spørge inden den køre et plugin, men ved ikke lige hvor indstillingen sider.

Indlæg af **AJenbo** » 11. jan 2013, 04:23

Toddvarg skrev:Vil det sige at Ubuntu's egen java ikke er sikker? Jeg troede at den var mere sikker, da den er en del af styresystemet ( eller det er den måske ikke) i modsætning til Oracle java, der er 3.parts

Det gør den nemmer at holde opdateret, men ikke nødvendigvis mere sikker.

Dog kunne det godt tyde på at icedtea ikke er påvirket af det seneste sikkerhedshuld.

I’ve attempted to reproduce the exploit with icedtea, but without success. Though that’s certainly not enough to conclude that it’s not affected.

lath · Indlæg af **lath** » 11. jan 2013, 14:10

Der er noget mere om emnet idag:

Alarm: 4 millioner NemID-brugere truet af kritisk Java-hul
http://www.version2.dk/artikel/sikkerhedsekspert-slaar-alarm-4-millioner-nemid-brugere-truet-af-kritisk-java-hul-49789
Sådan sikrer du dig mod kritisk Java-hul
http://www.version2.dk/artikel/saadan-sikrer-du-dig-mod-kritisk-java-hul-49788 <-- indeholder kun en Windows guide.
På "Sådan sikrer ...." - siden er der en kommentar med et interessant link:
- Bug 852051 -
- Aliases: (CVE-2012-4681)
- Summary: CVE-2012-4681 OpenJDK: beans insufficient permission checks, Java 7 0day (bea...
- https://bugzilla.redhat.com/show_bug.cgi?id=852051
- Man lægger mærke til følgende på redhat siden: https://bugzilla.redhat.com/show_bug.cgi?id=852051
  - Fixed in IcedTea versions: 1.10.9, 1.11.4, 2.1.2, 2.2.2 and 2.3.1
  - http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2012-August/020083.html
  - http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2012-August/020127.html
  - http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2012-August/020144.html
  - http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2012-September/020151.html

Mit IcedTea-Web plugin er ikke med?
IcedTea -Web 1.2 (1.2-2ubuntu1.3)
Så min Ubuntu 12.04.1 box må antages at være i farezonen. Øv!

/Lars

Indlæg af **Claus Henriksen** » 11. jan 2013, 16:14

Det bedste man kan gøre er vel at have en konto til nemid på sin Ubuntu maskine, og så kun bruge kontoen til nemid ting og intet andet. Man kan med fordel have en usb-installation klar til formålet.

Indlæg af **AJenbo** » 11. jan 2013, 16:24

http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-4681.html

https://launchpad.net/bugs/cve/CVE-2012-4681

The Joker · Indlæg af **The Joker** » 11. jan 2013, 16:42

Ajenbo skrev:

Chrome kan man sætte til at spørge inden den køre et plugin, men ved ikke lige hvor indstillingen sider.

Det er helt korrekt, og det er ret nemt, brug indstillinger, plugins og så bede den om det Ajenboe skriver, og det fungerer, har lige afprøvet det, så problemet er jo ikke større end, at skifte til Google Chrome, og samtidig løser man også problemet med Skat`s hjemmeside fordi Adobe Reader er integreret i Chrome, af samme årsag skiftede jeg for lang tid siden til Chrome, jeg ved godt det byder mange imod, at bruge lukket software, men Chrome har altså løsningerne.

lath · Indlæg af **lath** » 12. jan 2013, 01:36

Jeg vil lige skrive her at jeg tror at CVE-2012-4681 er det tidligere sikkerhedshul i java fra efteråret 2012.
Det jeg lægger mærke til er en august og oktober dato i 2012.

CVE-2012-4681 var den der blev citeret i et blogindlæg på version2 til artiklen "Sådan sikrer ... ". Link er i mit tidligere indlæg.

/Lars

P.S.
Jeg har ikke tjekket CVE nummeret op i mod krebsonsecurity web siden hvor han skriver om sikkerhedshullet som nogle af de første.

lath · Indlæg af **lath** » 12. jan 2013, 01:46

Kritisk Javahul er kæmpe millionforretning
http://www.version2.dk/artikel/ransomware-afpresning-millioner-betaler-rettighederne-til-java-saarbarhed-49799

Interessant læsning, der var i alt noget jeg ikke vidste.
Jeg vidste ikke at det var så organiseret, og at der var så mange penge i omløb.

/Lars

lath · Indlæg af **lath** » 12. jan 2013, 10:03

Det var præcis som jeg tænkte.

Sikkerhedshullet hedder ikke CVE-2012-4681, men i stedet hedder det CVE-2013-0422 :
https://twitter.com/peterkruse/status/289723277105061889

Tweetet nævner et link, kig på det:
http://joe4security.blogspot.ch/2013/01/cve-2013-0422-java-0-day-technical.html

/Lars

lath · Indlæg af **lath** » 12. jan 2013, 15:11

AJenbo skrev:PDF viseren i Google Chrome er ikke adobe reader, men den er også understøttet af skat.

Hører det indlæg til den her tråd?

/Lars

Indlæg af **NickyThomassen** » 12. jan 2013, 15:25

lath skrev:
AJenbo skrev:PDF viseren i Google Chrome er ikke adobe reader, men den er også understøttet af skat.

Hører det indlæg til den her tråd?

/Lars

Yep

The Joker skrev:Ajenbo skrev:

Chrome kan man sætte til at spørge inden den køre et plugin, men ved ikke lige hvor indstillingen sider.

Det er helt korrekt, og det er ret nemt, brug indstillinger, plugins og så bede den om det Ajenboe skriver, og det fungerer, har lige afprøvet det, så problemet er jo ikke større end, at skifte til Google Chrome, og samtidig løser man også problemet med Skat`s hjemmeside fordi Adobe Reader er integreret i Chrome, af samme årsag skiftede jeg for lang tid siden til Chrome, jeg ved godt det byder mange imod, at bruge lukket software, men Chrome har altså løsningerne.

AJenbo skrev:PDF viseren i Google Chrome er ikke adobe reader, men den er også understøttet af skat.

Ubuntu Danmark support

Efter sikkerhedshul: Ekspert beder dig fjerne Java

Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

CVE-2012-4681

Kritisk Javahul er kæmpe millionforretning

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java

Re: Efter sikkerhedshul: Ekspert beder dig fjerne Java