Allvarligt säkerhetshål - stäng av Java i din webbläsare

För att det inte ska bli några missförstånd påpekar jag bara att JavaScript inte är inblandat, bara Java. De är, trots likheten i namnen, helt olika saker.

Mer konkret innebär det att jag kan skapa en webbsida som innehåller ett Java-program som körs när du surfar till den. Det skulle även kunna hända på helt legitima sajter som 99mac. Någon skulle t. ex. kunna komma över inloggningsuppgifter till servern eller utnyttja säkerhetsbrister i webbprogramvaran.

Normalt ska dessa Java-program inte ha några möjligheter att göra något på din dator eller ens komma åt filer. Men den här säkerhetsluckan tillåter programmet att göra allt som du själv kan göra och det öppnar för en hel del otrevliga möjligheter.

Eller köra curl kommandot och ladda ner ett eget script eller program och köra igång det. Det kan vara vad som helst som man inte vill ha på sin dator.

//Rob

Nej, jag fattar inte helt
Detta har jag fattat - att man kan lägga in kod på t ex en webbsida så att ett valfritt unix-kommando kan utföras på besökande dator. Begränsningarna för vad det kan göra är de rättigheter jag har som användare - t ex radera alla egna filer men inte installer program eller annat som kräver administratörsbefogenher. Illa nog, det håller jag med om och java är avslaget i alla webbläsare här

Det jag inte har fått kläm på är om risken finns medan jag är ute och surfar eller om det finns kvar efteråt. Låt säga att jag med java påslaget varit på en sida och det har körts ett unix-kommando som raderar alla doc-filer
* Gäller det då där och då eller fortsätter det att "verka"?
* Om jag lämnar sidan och skapar en ny doc-fil, kommer den då att försvinna?
* Om jag stänger webbläsaren och startar en extern HD med backup kommer doc-filerna att försvinna därifrån?
* Om jag startar om datorn kommer då doc-filer i fortsättningen att försvinna?

Nej jag är inte paranoid. Det var kanske väl drastiskt exempel men det var mest för att göra tydligt vad det är jag inte fått kläm på.

Det enkla svaret är väl just detta. Vad helst du kan göra som användare på datorn kan även en sådan attack innebära. Kan du som användare radera alla nya filer i din dokumentkatalog. Det kan du. Ja, då kan även detta ske.

Jag använder Firefox och hör rösten säga "I am executing an ... (hör inte ordet) user process" men den text jag ser är "Hello World". Rösten läser inte upp texten. Är det fortfarande en säkerhetsrisk?

Japp, man har ju fortfarande lyckats utföra ett kommando som får din dator att tala. Vad som sägs är alltså inte relevant, utan bara att möjligheten finns.

Hemskt säkerhetshål, snacka om riskabelt för dem som råkar komma in på fel sidor. :S

De lär ju täppa till hålet även för 10.5.7. Något annat vore ju otänkbart...
Fast det är riktigt illa att det fortfarande inte fixats, om det varit känt så här länge...

Problemet var känt redan innan 10.5.6 släpptes.

Oj, menade för alla som kör leopard så klart...
10.5.x.

Och för alla med Tiger?

//Rob

Nej, jag tror apple struntar i att patcha det och helt sonika hoppar över alla som kör Apple OS X 10.4 tiger... Och alla som kör Apple OS X Leopard server eller Apple OS X Tiger Server. ^^

Oj igen.

Nej givetvis inte. De måste ju uppdatera alla operstivsystem (de som är rimliga att uppdatera) där hålet finns tycker man.
Hoppas alla förstår vad jag menar, blir lite smått tokig här för att jag skrev så klumpigt.

Naturligtvis menar jag ALLA OS X som fortfarande uppdateras,
10.X≥4.X (?), och där javabuggen finns.
Väldigt illa om de inte gör det snart :/

Nja, möjligen skulle man kunna tänka sig se en patch till 10.4, men allt äldre än det lär det aldrig komma någon uppdatering till, oavsett hur allvarligt säkerhetshålet är.

Min reflektion är att nu har vi substandard java OCH flash på vår plattform. Det är dags att detta åtgärdas nu.

Java krävs väl i Safari även för en hel del filhämtningar (programuppdateringar/dmg-filer)?

Inte vad jag vet.

Nope inte alls.

OK? Jag ser ju bara att jag inte kan uppdatera t ex VLC (från Safari) om jag bockar av Java. Får då felmeddelande. Bockar jag i Java igen fungerar det som vanligt. Jag testade att dra ner senaste VLC två ggr till från Safari och samma sak båda gångerna: utan Java, felmeddelande. Med Java, fungerar.

Det finns inte ens en Java-applet på vlc-sidan. Du har inte råkat ta fel och stängt av JavaScript istället? Inte för att det ska hindra dig från att ladda ner VLC, men sidan renderas lite annorlunda.

(JavaScript har, som redan nämnts otaliga gånger, ingenting med Java att göra.)

Självklart stänger jag inte av javascript! Mycket märkligt. Prövade nu igen och precis samma sak… Måste ju vara något helt annat som händer.

Jag har inga problem med att ladda ner VLC utan Java.

Såg att om man vill så kan man själv täppa igen säkerhetshålet genom att ladda ner suns java version och ändra Apples jdk. Mer info på den här sidan. Instruktioner finns för båda 10.4.x och 10.5.x.

//Rob

Leopold?

Hålet verkar vara tilltäppt i den version av Safari som följer med senaste betan av Snow Leopard.

Det är ett java problem och inte safari. Kanske har Apple fixat säkerhetshålet i senaste versionen utab java i snow leopard.

//Rob

Ja, så är det nog. Hör ingen röst, som man ska om det är knas i alla fall, när man kollar länken.

Skriv java -version i Terminalen för att kolla java versionen.

På min Macbook Pro i 10.5.7 står det.

java version "1.5.0_16"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.5.0_16-b06-284)
Java HotSpot(TM) Client VM (build 1.5.0_16-133, mixed mode, sharing)

//Rob

Samma i 10.5.6.

Ja det verkar så. Jag hör ingenting.

Java Plug-in 1.6.0_13
Använder JRE-version 1.6.0_13 Java HotSpot(TM) 64-Bit Server VM
Användarens hemkatalog = /Users/studiox

Verkar som Apple har uppdaterat java i Snow Leopard. 64bit java i Leopard är:

java version "1.6.0_07"
Java(TM) SE Runtime Environment (build 1.6.0_07-b06-153)
Java HotSpot(TM) 64-Bit Server VM (build 1.6.0_07-b06-57, mixed mode)

//Rob

Tur att man inte kör apple-server. Det verkar ju livsfarligt om det tar sån tid att täppa till hålen.