Allvarligt säkerhetshål - stäng av Java i din webbläsare

Tråden skapades och har fått 112 svar. Det senaste inlägget skrevs .

Klicka på länken nedan (och se till att ha ljudet på). Om du hör en röst läsa upp ett meddelande så har du ett allvarligt säkerhetshål i din webbläsare. Enda lösning tills vidare är att stänga av Java helt.

Klicka här för att testa säkerhetshålet.

Vad som händer är att /usr/bin/say körs på din dator med dina rättigheter.

Det är den tidigare Apple-ingenjören Landon Fuller som publicerar detta exempel för att få uppmärksamhet på problemet, vilket tyvärr har varit enda sättet att få Apple att fixa vissa säkerhetshål snabbt. Det har varit känns sedan augusti förra året.

Läs mer: Critical Mac OS X Java Vulnerabilities

[Via [URL="http://www.macrumors.com/2009/05/20/unpatched..."]MacRumors[/URL]]

I Safari slår man av Java under Inställningar -> Säkerhet -> Aktivera Java.
I Firefox slår man av Java under Inställningar - Innehåll -> Aktivera Java.

Observera att Javascript inte har något med detta att göra.

Här är ett bra citat om säkerhetshålet:

This one is a pure Java vulnerability. This means you can write a 100% reliable exploit in pure Java. This exploit will work on all the platforms, all the architectures and all the browsers! Mine has been tested on Firefox, IE6, IE7, IE8, Safari and on MacOS X, Windows, Linux and OpenBSD and should work anywhere.

This is close to the holy grail of client-side vulnerabilities.

Läs mer här för en mycket teknisk genomgång av säkerhetshålet: Write once, own everyone, Java deserialization issues

  • Medlem
  • 2009-05-20 23:32

Grymt läskigt. Tack för tipset Adrian!

Har nu inaktiverat java. Såg rubriker någonstans men glömde bort det igen.
Tack för tipset!

Läskigt, tack för tipset!

  • Medlem
  • International user
  • 2009-05-21 00:14

Läste om det idag. Det är faktiskt rätt otroligt att Apple som skryter om deras säkerhet låter en sån stor säkerhetshål vara öppen i 6 månader. Det är kort och gott skandal.

Den här exploiten som släpptes gör det enkelt nästan för vem som helst att ta över vilken dator som helst. Men macen är 100% säkert att komma åt eftersom användarna känner sig säkra och det är kännt att Apple inte har fixat hålet.

//Rob

  • Medlem
  • Skellefteå
  • 2009-05-21 13:32
Ursprungligen av Robo-X:

Läste om det idag. Det är faktiskt rätt otroligt att Apple som skryter om deras säkerhet låter en sån stor säkerhetshål vara öppen i 6 månader. Det är kort och gott skandal.

Den här exploiten som släpptes gör det enkelt nästan för vem som helst att ta över vilken dator som helst. Men macen är 100% säkert att komma åt eftersom användarna känner sig säkra och det är kännt att Apple inte har fixat hålet.

//Rob

Instämmer. Apple har genom sin nonchalans försatt sina egna användare i samma sits som Windows-folket.

  • Oregistrerad
  • 2009-05-21 13:40
Ursprungligen av Northwiz:

Instämmer. Apple har genom sin nonchalans försatt sina egna användare i samma sits som Windows-folket.

Ja, det är faktiskt lite så. Nu erbjuder tom. Microsoft en "turn-around" tid på 72 timmar till amerikanska försvaret tills att en säkerhetsbrist har upptäckts, till att den tätas, sug på det Apple. Det är ju en speciell deal som USMIL har gjort men kommer ju ge ringar på vattnet..

Om man tittar på hur ofta min Apple update plingar till, jämfört med Windows så är det ju stor skillnad. Det tror jag inte enbart beror på att MS har fler sårbarheter, utan att dom är mer proaktiva. Apple håller käft som vanligt om allt, pratar hellre om hur coolt deras nya SDK till iphone är. Tur vi inte har Java i en iphone, då hade den här explorit blivit skojj..

Tack för tipset!
Rösten hördes - java är nu avstängt

Någon som kan upplysa vad man nu "går miste om"?

Ursprungligen av macwitty:

Någon som kan upplysa vad man nu "går miste om"?

E-legitimation är väl det allvarligaste man går miste om anser jag. För att t.ex. logga in på Skatteverket eller Försäkringskassan genom BankID. Det är nog en av de få gångerna Java någonsin brukar dras igång i mitt surfande i alla fall.

Men i sådant fall kan man ju aktivera Java, uträtta sina ärenden på dessa sidor och sen avaktivera Java igen när man är klar. Så det går att leva med.

Ursprungligen av Adrian B:

E-legitimation är väl det allvarligaste man går miste om anser jag. För att t.ex. logga in på Skatteverket eller Försäkringskassan genom BankID. Det är nog en av de få gångerna Java någonsin brukar dras igång i mitt surfande i alla fall.

Men i sådant fall kan man ju aktivera Java, uträtta sina ärenden på dessa sidor och sen avaktivera Java igen när man är klar. Så det går att leva med.

Tack Adrian!
Då förstår till och med jag och ser det inte som så stor arbetsinsats för att öka säkerheten

En ny fråga, inte för att jag är särskild paranoid eller varit ute på så farliga vägar men det vore bra att veta. Handlar bristen om att man kan ta över datorn under tiden man surfar med java påslaget?
Eller kan någon ha tagit över den redan och hur märker/ändrar man det i så fall?

  • Medlem
  • International user
  • 2009-05-21 19:36
Ursprungligen av macwitty:

Tack Adrian!
Då förstår till och med jag och ser det inte som så stor arbetsinsats för att öka säkerheten

En ny fråga, inte för att jag är särskild paranoid eller varit ute på så farliga vägar men det vore bra att veta. Handlar bristen om att man kan ta över datorn under tiden man surfar med java påslaget?
Eller kan någon ha tagit över den redan och hur märker/ändrar man det i så fall?

Normalt märker man inget tills du inte kan logga in på datorn eller allt är borta. Men just nu så finns det inga kända hack men det kan snabbt ändras. Alltså det är nog bäst att avaktivera java (inte javascript) tills Apple updaterar java.

//Rob

  • Oregistrerad
  • 2009-05-21 19:57
Ursprungligen av macwitty:

Eller kan någon ha tagit över den redan och hur märker/ändrar man det i så fall?

Detta är något som jag allmänt har funderat på vad gäller OS X och säkerhet, hur kan jag på ett lättare sätt se om det finns gremlins i systemet?

På flera håll i OS X man kan se till att processer och program startar automatiskt. Förr räckte det ju med "StartUp Items" och "Extensions". Idag finns det en lång lista. Som jag förstått det kan t.o.m. program också köras vid vissa tidpunkter vilket gör dem svåra att spåra via "Activity Monitor", top m.fl.

M h a programmet Lingon kan man se en del av dem men finns det fler verktyg eller tekniker för att t.ex. se till vilket paket en fil hör till eller kommer ifrån? I Windows går det ofta att spåra något då DLL-filer oftast har namn och strängar som avslöjar en del information. Finns det något liknande till OS X eller pratar vi Developer Tools, Xcode & co då?

Ok, svårt att komma in men när väl gör det känns det som om det skulle kunna härja runt ett bra tag utan att jag heller skulle känna till det. Med Little Snitch märker man ganska snart att det är rätt mycket under OS X som far in och ut...

Ursprungligen av macwitty:

En ny fråga, inte för att jag är särskild paranoid eller varit ute på så farliga vägar men det vore bra att veta. Handlar bristen om att man kan ta över datorn under tiden man surfar med java påslaget?
Eller kan någon ha tagit över den redan och hur märker/ändrar man det i så fall?

Vad exemplet visade var att ett valfritt unix-kommando kunde utföras. I detta fall var det /usr/bin/say men det skulle lika gärna kunna vara ett kommando som raderar dina privata filer och gör allt annat som din användare på datorn har rätt att göra.

Det är inte så kallad "root-access" som kan göra *vadsomhelst* på din dator, men det behövs inte root för att kunna radera dina egna filer t.ex. och det är ju rätt allvarligt.

tack för tipset men java e inte det för o se typ video klipp o gerjjer på nätet typ eller nått liknande? kan inte så mycket om java

Java använder man för att skriva applikationer som körs i webläsaren.

Om du tänker på exempelvis Youtube behövs inte Java. Man skulle säkert kunna skriva en "Applet" i Java för att visa video, men jag känner inte till någon sådan.

Förväxla inte heller Java med Javascript.

ok då fattar jag men jag fick problem med förut med lösenord på vissa hemsidor när jag stängde av java fattade inte varför men e fixat nu

  • Medlem
  • Hemmesdynge
  • 2009-05-21 09:44

Erm, det där säkerhetshålet funkar inte alls? I rutan där Java-appleten skall starta kommer det upp "Error" och i statusraden: Applet HelloWorldApplet notinited.
Och jag kör ju Safari med Java igång eftersom det behövs för universitetets ekonomisystem.

Ursprungligen av bollman:

Erm, det där säkerhetshålet funkar inte alls? I rutan där Java-appleten skall starta kommer det upp "Error" och i statusraden: Applet HelloWorldApplet notinited.
Och jag kör ju Safari med Java igång eftersom det behövs för universitetets ekonomisystem.

Intressant. Alla andra jag frågat har det fungerat för, både i Safari och Firefox.

  • Medlem
  • Skellefteå
  • 2009-05-21 13:33
Ursprungligen av bollman:

Erm, det där säkerhetshålet funkar inte alls? I rutan där Java-appleten skall starta kommer det upp "Error" och i statusraden: Applet HelloWorldApplet notinited.
Och jag kör ju Safari med Java igång eftersom det behövs för universitetets ekonomisystem.

Det finns flera varianter av exploitkod ute på nätet så det skulle jag avråda ifrån.

Jag tycker inte att det största problemet är att säkerhetshålet finns, utan att det sedan länge har varit känt och dessutom åtgärdats av Sun. Mac har en ganska unik situation på grund av ett gammalt licensavtal mellan Apple och Sun som förbjuder Sun att bygga Java för Mac. Anledningen är att Apple vill ha tätare integration med Macens operativsystem som t. ex. Platinum-/Aqua-gränssnitt. Tyvärr har det avtalet och Apples numera uppenbara ointresse av Java gjort att vi på Mac har den äldsta, långsammaste och osäkraste versionen av Java medan andra operativsystem har det senaste direkt från Sun. Apples Java 6 är långt efter och kör du PowerPC eller Core Duo är du begränsad till Java 5.

Sedan Java gick open source har vi mycket bättre möjligheter att köra Java på Mac. Det går bland annat att köra BSD-porten av Java. Det som framförallt har varit aktuellt är SoyLatte-projektet.

Senast redigerat 2009-05-21 12:09

scary.....

  • Medlem
  • Hemmesdynge
  • 2009-05-21 11:38

Observera dock att SoyLatte också har denna bugg, ej fixad.

Ursprungligen av bollman:

Observera dock att SoyLatte också har denna bugg, ej fixad.

Är det bara begränsat till den gamla legacy-versionen som är baserad på Suns JDK eller gäller det även nya OpenJDK-baserade byggen?

Har varje användare rådighet över inställningarna för Java, eller kan man som administratör stänga av för alla i familjen?

Jobbigt att min internetbank är helt byggd i Java.. Menmen, får väl börja slå av och på Java helt enkelt.

  • Oregistrerad
  • 2009-05-21 12:27

Inne lite på Robo's linje. Vet inte hur säker jag känner mig med att Apple har vetat om detta men fortfarande inte fixat det efter mer än 6 månader... Vad är det mer som de inte har täppt till? Undrar vem som hinner först, virusprogrammerarna eller Apple?

Hoppas att Apple fixar det här och andra fort som s-n. Skulle verkligen inte se så bra ut om något slapp igenom... för någon.

  • Medlem
  • Stockholm
  • 2009-05-21 12:37

Det är nästan så att man önskar att en riktig jävla exploit smäller av i nyllet på Apple. Med deras självgoda inställning kan det ju inte vara annat än en tidsfråga. Jag menar, när t. o. m. Microsoft börjat ta säkerheten på allvar är det väl dags.

Vänligen, Ylan

Ursprungligen av Marcus K:

Jag tycker inte att det största problemet är att säkerhetshålet finns, utan att det sedan länge har varit känt och dessutom åtgärdats av Sun.

Exakt.

Ursprungligen av Ylan:

Det är nästan så att man önskar att en riktig jävla exploit smäller av i nyllet på Apple. Med deras självgoda inställning kan det ju inte vara annat än en tidsfråga. Jag menar, när t. o. m. Microsoft börjat ta säkerheten på allvar är det väl dags.

Jag tror det är lite av det som Landon Fuller hoppas på, kanske inte så att massa användare råkar illa ut (men bland illvilliga personer har detta ändå varit känt länge) men så att Apple får negativ publicitet och - man kan ju hoppas - justerar sina rutiner till det bättre.

  • Medlem
  • Hemmesdynge
  • 2009-05-21 13:46

Jag är ganska säker på att exploiten inte funkar i min dator

Bevaka tråden