Windows-pc'er åbne for Java-sårbarhed

En kritisk sårbarhed er blevet fundet i en central Java-enhed, og hullet er endnu ikke blevet lukket.

Foto: Colourbox Foto: Colourbox

Weekenden bød på to uafhængige sikkerhedsadvarsler om en sårbarhed i Java Web Start, der er frameworket til eksekvering af Java-applikationer direkte på nettet.

Advarslerne går ifølge sikkerhedsfirmaet CSIS Group ud på en sårbarhed, der opstår på grund af en manglende validering af de parametre, der behandles af komponenten "javaws.exe", og som truer computere forbundet til internettet.

Derved bliver der åbnet mulighed for at eksekvere vilkårlige .jar-filer uden restriktioner på samtlige versioner af Microsoft Windows, som har installeret den fejlbehæftede komponent.

"Sårbarheden er simpel at udnytte i praksis, og den kan blandt andet misbruges i relation til traditionel klient side drive-by angreb," lyder det fra CSIS Group, der mistænker samtlige versioner siden Java SE 6 update 10 fra oktober 2008 for at være sårbare for sikkerhedsbristen, som sikkerhedsfolkene betegner som "kritisk".

CSIS Group forklarer, at problemet teknisk set opstår i den måde, som JAVA Plugin'et identificerer Java Web Start indhold (jnlp filer) på.

Det gør det muligt, for en ondsindet person eksempelvis via en websider, at lægge kommandolinje parametre igennem "docbase" tag og "launchjnlp".

Sæt en prop i hullet

..

Læs også