Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet, Java

SR13-006 Oracle - 0-day i Java

Ny sårbarhet i Java utnyttjas aktivt. Inaktivera insticks-Java om möjligt.

Problembeskrivning

CVE-referens:-

En så kallad "0-day", dvs en sårbarhet som det ännu inte finns någon rättning till, har upptäckts i Java. Denna sårbarhet utnyttjas aktivt i attacker där datorn blir infekterad utan användarinteraktion då en skadlig webbsida besöks.

Liknande Java-sårbarheter har tidigare fått stora konsekvenser och orsakat ett stort antal infektioner. Sårbarheten är troligen en "ren" Java-sårbarhet varför den kan utnyttjas på alla plattformar som Oracles Java stöder. Med andra ord kan både Windows och Mac drabbas.

Enligt uppgift utnyttjas sårbarheten av "exploits kits", vilket innebär att den troligen kommer få stor spridning. Angriparen tar över en webbplats och ändrar sidor så att besökare skickas till en server med ett "exploits kit", som väljer sårbarhet att utnyttja beroende på exempelvis besökarens webbläsare eller insticksprogram. Besökarens dator smittas i bakgrunden och ingen användarinteraktion krävs. Skadliga annonser är en annan infektionsvektor och i vissa fall är det stora och välkända webbplatser som drabbas.

Inaktivera insticks-Java om det är möjligt. I dagsläget är det få webbplatser som använder Java-applets varför de flesta klarar sig utan insticks-Java.

I Java 7 Update 10, som är den senaste versionen, går det att slå av insticka-Java globalt i Java-konsolen. Detta är den smidigaste metoden eftersom då behövs insticks-Java inte slås av för varje webbläsare. Mer info:

http://www.java.com/en/download/help/disable_browser.xml

Följande webbplats kan användas för att kontrollera om insticks-Java är inaktiverad:

http://www.java.com/sv/download/installed.jsp

För att slå av insticks-Java separat för varje webbläsare kan följande guider användas:

http://nakedsecurity.sophos.com/2012/08/30/how-turn-off-java-browser/

http://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

Eller kan installerade insticksprogram listas i webbläsaren med möjlighet att inaktivera Java:

  • Google Chrome: Skriv chrome://plugins/ i URL-raden.
  • Microsoft Internet Explorer: Tools - Manage add-ons :: Ändra listboxen: Show - All add-ons
  • Mozilla Firefox: Tools - Add-ons :: Gå till Plugins-fliken.

Om insticks-Java krävs kan följande göras:

  • Privatperson: Använd flera webbläsare. En för "mängdsurfande", en där Java-applets kan köras och en för inloggade sessioner. Ett annat alternativ är att blockera Java-applets, till exempel med NoScript. Att surfa i ett virtualiserat OS är ett ytterligare alternativ, exempelvis kan VirtualBox eller VMware användas.

  • Organisation: Vissa brandväggar kan blockera Java-applets med undantag för de som finns i en vitlista. Ett annat alternativ är att använda två webbläsare och en proxy-server. En webbläsare används till äldre system samt vitlistade webbplatser som använder Java-applets. Den andra webbläsaren används i alla andra fall. Proxy-servern används för att styra användarna rätt; om användaren använder "legacy"-webbläsaren till en domän som inte finns med i vitlistan fås ett felmeddelande att den andra webbläsaren ska användas. "User-Agent" i HTTP-huvudet används för att filtrera trafiken. Ett tredje alternativ är applikationsvirtualisering av webbläsaren.

Observera att det endast är insticks-Java som är ett säkerhetsproblem, dvs insticksprogrammet till webbläsaren som gör det möjligt att köra Java-applets. Java-applikationer är inte exponerade på samma sätt och är inte en infektionsvektor. Många populära applikationer använder Java, exempelvis Minecraft och DbVisualizer. Avinstallera alltså inte Java utan inaktivera endast insticks-Java.

Leverantörer till IDS:er arbetar med att ta fram signaturer, exempelvis Sourcefire:

http://vrt-blog.snort.org/2013/01/generic-exploit-kit-detection-first.html

Enligt Immunity är Java 6 också är sårbar, åtminstone från och med version Update 10 och senare:

https://partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf

Att ligga kvar på Java 6 rekommenderas inte eftersom Oracle kommer sluta uppdatera produkten efter februari 2013:

https://blogs.oracle.com/henrik/entry/java_6_eol_h_h

Brian Krebs svarar på de vanligaste frågor kring sårbarheten:

http://krebsonsecurity.com/2013/01/what-you-need-to-know-about-the-java-exploit/

Uppdatering 2013-01-11 11:20: La till info om EMET, Snort-länk samt uppdaterade vilka versioner som är sårbara.

Uppdatering 2013-01-11 14:51: Tog bort EMET (Enhanced Mitigation Experience Toolkit) då det inte skyddar i detta fall eftersom det rör sig om en "ren" Java-sårbarhet. Är verifierat att EMET inte ger något skydd i detta fall.

Uppdatering 2013-01-13 11:50: La till Brian Krebs-FAQ, Immunity-rapport samt Java 6 EOL-info från Oracle.

Påverkade versioner

  • Java 7 update 10 samt Update 9 (verifierat enligt uppgift)
  • Java 6 update 10 och senare (enligt Immunity)

Mer information och programrättningar

http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/

http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/

http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html