Deaktiver Java nu
Hej
Det er på tide, at deaktivere Java nu
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-infor…
Det er på tide, at deaktivere Java nu
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-infor…
Kommentarer27
Deaktiver java er måske nok
Problemet for mange danskere i den sammenhæng, er dog at nemid er afhængig af Javas browser plugin.
Det ser dog ud til at
Hej
Eftersom at det foregår
Eftersom at det foregår i browseren, så er det vel platform-uafhængigt.
De viser bare et eksempel med Windows XP.
Ikke nødvendigvis. Java
Ikke nødvendigvis. Java er kun adgangsvejen til at downloade malwaren, og hvis den kun kører på Windows, er problemet ikke så stort på Linux. Lige nu - for naturligvis kan der downloades andre ting via samme hul, måske også scripts eller binære filer der påvirker Linux.
Java er kun adgangsvejen
Ja lige præcist, og det var netop det der skete med JavaJRE, OSX, Nøgleringen, Flashback malware og at Mac brugerene benytter en administrativ konto til dagligt.
Indtil videre er det ikke et problem på Linux, men som så mange gange før, så handler dette om Windows dll udvidelser, og de mange andre eksekverebare filer, sammen med den evindelige administrator konto, privat-brugerene bare ikke kan få ind i hovedet er en risiko.
Det er ikke samme problematik på de fleste Linux, hvor brugerkontoen er en tvunget ikke administrativ standard-konto, med dertilhørende begrænset systemadgang
Alligevel kan man udmærket forestille sig, at bankkunder udlevere fx NemID's talværdier i en Phishing mail eller anden falsk hjemmeside fra Linux. Det er blot (endnu) ikke et malwareproblem, men nærmere et problem med naivitet.
Som altid er det naturligvis problematisk når politikerne vælger noget markværk som Java i browserne, og kalder det for sikkert. Det eneste der er sikkert, er at de ingen anelse har hvad de taler om.
#5
Og skal vi så ikke lige
Og skal vi så ikke lige stoppe med at sige at Linux er sikkert fordi den alm. bruger ikke har systemrettigheder...
Ja en virus vil ikke nakke systemet men jeg tror nok en almindelig bruger prioriterer sine data højere end systemets stabilitet. Og langt størstedelen af Linux installationer forbyder ikke alm. brugere i at eksekvere programmer eller scripts og giver rig lejlighed til inficere brugerdata og konfigurationsfiler som fx bashrc.
#6Så bliver jeg jo næsten
Så bliver jeg jo næsten nødt til at citere mig selv:
#5: Indtil videre er det ikke et problem på Linux,
#5: Det er blot (endnu) ikke et malwareproblem, men nærmere et problem med naivitet.
#5:Som altid er det naturligvis problematisk når politikerne vælger noget markværk som Java i browserne, og kalder det for sikkert.
Stadig, vis mig et eksempel på at det er sket på Linux, og jeg vil fremtidigt ændre på ordlyden.
#7
Det var mere at du giver
Det var mere at du giver "sammen med den evindelige administrator konto" skylden i Windows for de problemer der er. Det er ikke bedre med et system som Linux hvor hver bruger kører for sig med begrænset systemrettigheder.
Er skam helt enig i at der ikke er meget malware designet til Linux men den måde de fleste desktop maskiner er sat op forhindre ikke malware og virus i at ødelægge brugerdata.
Det er ikke bedre med et
Vi er da helt enige i, at malware er meget begrænset i Linux, omænd eksisterer, men det er noget sludder at administative konti ikke er farligere. Det er jo netop med selv samme begrundelse at standard automatisk installeres i Linux.
Den kan du ikke engang få Microsoft til at give dig ret i (de anbefaler at oprette en standard af samme årsag, og derfor de fandt på UAC), Det siger sig selv, at det er nemmere at fjerne potentiel malware fra profilen end fra systemet. Hvis ikke på anden vis, så blot at oprette en ny konto og slette den gamle, men korrekt at brugerdata allerede kan være exponeret.
Hvis jeg må henlede opmærksomheden på Mountain Lion's nyeste tiltag; at begrænse malware med en ny indstilling i Kontrolpanelet Sikkerhed og Annonymitet, der skal deaktiveres,før man kan installere uden for App Store.
Som du selv er inde på, så beskytter standard kontoen ikke profilmappen, og udgør derfor en potentiel risiko. Noget at tage til efterretning fx vedr. JavaJRE. Intet er absolut sikkert.
Edit:
Tjek iøvrigt bl.a. Java herfra: https://browsercheck.qualys.com/
Selvom man har nyeste Java (kun Oracle), er den allerede udsat, og der endnu intet fix. Det er også skruen uden ende ...
Stadig, vis mig et
Så fordi noget ikke er sket mener du at det er mere sikkert? er det forstået korrekt eller opfatter jeg det forkert?
Så fordi noget ikke er
Helt ærligt, hvor vil du hen med det spørgsmål ;-) Prøv nu at bruge din logik, og læs tråden igen. Svaret er implicit i kommentarende.
Er det mere sikkert ikke at blive smittet med malaria i danmark, selvom vi har malaria myggen?
#11 bare der her hvor man en
#12Jammen jeg er da delvis
Jammen jeg er da delvis enig.
Som nævnt, også af Julemanden er risikoen nogenlunde proportionalt med brugen af OS, sammen med andre faktorer, eksempelvis kontotypen og hvad man ellers kan finde på af præventiviteter.
#6 pointe er mangelfuld, fordi den administrative konto stærkt forringer systemets, og dermed brugerens sikkerhed, og det samme er eksemplet med OSX, fordi det også her handler om administrative konti, hvor Java med hjælp af malware, har adgang til nøgleringen uden brugervalidering.
På den anden side, for Linux vedkommende, er der heller ingen grund til at male fanden på en væg der endnu ikke eksisterer. Sker det pludseligt at linux inficeres eksempelvis via browser Java, så forholder det sig naturligvis anderledes,
Endelig tales der allerede nu om sandbox teknologi i Linux. Den findes allerede i Chrome, og for Windows vedk. så har programmet Sandboxie allerede eksisteret i mange år.
http://www.sandboxie.com/
Edit:
Og så ser jeg først denne tråd nu, selvom den står helt i toppen af listen ;-)
http://www.linuxin.dk/node/20150
Og nu jeg er igang så er jeg flittig bruger af Faronic's Deepfreeze på de netværk jeg administrerer, hvor sådanne foranstaltninger er fordelagtige. Deepfreeze fås iøvrigt også til Linux, der sandbox'er hele harddisken.
http://www.ccpro.dk/deepfreeze.htm
Til slut skal du huske på, at der er grunde til at sådanne domain netværk er konfigureret med standard konti. Der er intet nyt i det, og derfor en svaghed i sin viden, hvis man ikke medtager det i sine overvejelser ang. standard vs admin konti bl.a. vedr. malware og Java med mere.
hmmm
Tomas Hoger 2012-08-27 09:09:03 EDT
Code execution was confirmed with the latest Oracle and IBM Java 7 web browser plugin. IcedTea-Web using OpenJDK7 blocks this exploit by not allowing applet to change the SecurityManager (which is allowed in Oracle and IBM Java plugin).
Java 6 is currently not known to be affected.
dog er der laengere nede en gut der mener at en andenteknik kan bruges .
//////////////////////////////////
Desuden har folk der passer paa sig selv vel laert at dobbelttjekke certifikat og url fra ens netbank hver gang . ( x y z - phishing, dns spoofing, poisoning bla bla ).
Det hjaelper slf kun hvis man ikke browser random sider med samme browser som man bruger til netbank.
Og ja , 99% workstations da vil en kompromitteret user adgang vaere katastrofal i sig selv.
Linux har en haft VM i ca 20 aar, den hedder din VMM, altsa vil du ikke ofte en virtual maskine paa danid saa kan du nemt koere en grafisk browser i en anden users kontekst , det er slf ikke ubrydeligt , og du skal fidle med xauth.
Hej
Nu er der kommet en
Nu er der kommet en sikkerhedsopdatering til Java
http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html
Det er der, og bruger man
sudo add-apt-repository ppa:webupd8team/java
sudo apt-get update
sudo apt-get install oracle-java7-installer
Tjek om Java er registreret:
java -version
Færdigør installationen:
sudo update-java-alternatives -s java-7-oracle
Tilsidst, check efter herfra, endelig ikke fra Oracle Java:
https://browsercheck.qualys.com/
Hej
Du kan ikke altid være
Du kan ikke altid være sikker på dit antivirus-program
http://www.h-online.com/security/news/item/Only-9-of-22-virus-scanners-…
Du kan ikke altid være
Sådan har det altid været Jan. Nu går jeg ud fra at du tænker på Windows, eftersom problemet nærmest er ikke-eksisterende på Linux, så hvis du vil have independet information om antivirus, så kan du finde stort set alt hvad du ønsker fra AV-Comparatives:
http://www.av-comparatives.org/comparativesreviews/retrospective-test
Linket er til retrospective testresultater, fordi det er den vigtigste del af AV, men du bør også læse om bl.a. proactive tests, samt de andre resultater fra Sitet.
Rigtig mange Windows brugere vælger AV og sikkerhedsprogrammer med hovedet under armen. Derfor er mange Windows inficeret uden brugeren opdager det. Årsagen er naturligvis at hvis det valgte AV ikke er godt, at det ikke detektere malwaren.
Nogle installere flere ensvirkende Realtime AV for både at bruge seler og livrem, og resultatet af en sådan handling er bl.f, forringet sikkerhed (AV slås mod hinanden), ekstremt CPU forbrug, BSOD og mange andre fejl der in-stabilisere systemet.
Windows? Gab. Kan I ikke
Hej
Jeg gider heller ikke
Jeg gider heller ikke noget Windows, men det er en test efter den sidste opdatering af Java, og på samme side skriver de, at Java stadig ikke er sikker.
Det ændrer sig jo ikke om
#20Jan - Tag ikke fejl. BG
slettet! ingen personlige angreb:)
#anmeldt
Og mens Frogmaster spilder
http://www.version2.dk/artikel/sikkerhedshuller-i-java-braekket-op-igen…
Hej
Ja, Java minder stadig
Ja, Java minder stadig mere om en sveitserost - fuld af huller.
sveitserost
Haha ja.
Haha ja. Men husk at du altid er sikker hvis du kører BleachBit ligeså ofte som du vasker hænder(joke).
Windows? Gab. Kan I
Lad mig sige det sådan:
Hvad fanden rager det dig