Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet, Java

SR12-130 0-dags sårbarhet i Java

Senaste uppdaterade Java versionen har en sårbarhet som utnyttjas aktivt.

Problembeskrivning

CVE-referens: CVE-2012-4681

Java 1.7 har en sårbarhet som utnyttjas aktivt och som det inte ännu finns någon uppdatering för.

För att sårbarheten skall kunna utnyttjas av en angripare så behöver en användare bara surfa till en sida med angriparens applet inkluderad, Det behövs alltså inget manuellt godkännande innan programmet exekveras.

Sårbarheten uppges fungera på:

  • Mozilla Firefox on Ubuntu Linux 10.04

  • Internet Explorer / Mozilla Firefox / Chrome on Windows XP

  • Internet Explorer / Mozilla Firefox on Windows Vista

  • Internet Explorer / Mozilla Firefox on Windows 7

Det är troligt att sårberheten fungerar även med andra kombinationer av webbläsare och operativsystem.

Just nu [2012-08-28] finns det inget som tyder på att denna sårbarhet finns i Java version 1.6 (eller 6) men

om er organisation använder Java 6 så råder vi er att använda senaste version då andra kända sårbarheter

utnyttjas aktivt i äldre versioner.

CERT-SE:s rekommendationer

CERT-SE har tidigare informerat om att sårbarheter i Java för tillfället är det effektivaste

tillvägagånssättet att göra intrång på enskilda system.

[2012-08-30] Oracle har släppt en uppdatering som åtgärdar sårbarheten.

Vi rekommenderar därför en översyn av hur Java används inom organisationen, åtgärder som kan tas är till exempel:

  • Se över möjligheten att filtrera Java applets i brandvägg, IPS eller liknande utrustning

  • Undersök möjligheten samt konsekvenserna av att stänga av Java i webbläsaren

  • Eftersom Java ofta används av organisationer i interna system kan två olika webbläsare användas för intern
    respektive extern surfning där den externa webbläsaren har Java avslagen. Det här konceptet bygger på isolation och kan naturligtvis åstadkommas även med hjälp av virtuella maskiner.

Påverkade versioner

  • Verifierad på Java 1.7 update 6 (men sårbarheten omfattar troligen fler versioner)

Mer information och programrättningar

http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

http://secunia.com/advisories/50133/

http://www.oracle.com/technetwork/java/javase/downloads/index.html