Korjaamaton haavoittuvuus Javassa

Javasta on löytynyt korjaamaton haavoittuvuus, jota tiedetään käytettävän hyväksi. Jos Javaa ei käytä, se kannattaa poistaa käytöstä internetselaimessa. Haavoittuvuus koskee ainakin Javan uusinta versiota 7 update 10.

Javan uusimmasta versiosta Java 7 Update 10:stä on löytynyt haavoittuvuus, jonka hyväksikäyttömenetelmä on lisätty erilaisia hyväksikäyttömenetelmiä sisältäviin exploit kit -tyyppisiin rikollisten käyttämiin ohjelmistoihin. Näiden exploit kit -ohjelmistojen avulla voidaan esimerkiksi murretun sivuston kautta tarjoilla haittaohjelmia sivustolla vieraileville. Aiemmin Javan haavoittuvuuksia on käytetty muun muassa lunnashaittaohjelmien kuten poliisin nimissä levitetyn haittaohjelman levitykseen.

Kokosimme elokuussa 2012 usein kysyttyjä kysymyksiä koskien Java-haavoittuvuuksia ja yleensäkin Javaa. Kysymykset ja vastaukset on koottu Tietoturva nyt! -artikkeliin. Artikelissa on myös linkit ohjeisiin joiden avulla poistaa Java käytöstä selaimesta.

Huomioithan, että jotkut verkkosovellukset vaativat Javan toimiakseen. Jos palveluiden käyttösi on riippuvainen Javasta, suosittelemme kahden selaimen taktiikkaa;

1. Selaimella, jossa Java ei ole päällä, hoidat normaalin surffailun ja muut päivittäiset asiat.
2. Selaimella, jossa Java on päällä, hoidat asioinnin palveluissa jotka Javaa tarvitsevat.

10.1.2013 CERT-FI:n haavoittuvuustiedote 010/2013
29.8.2012 Kysymyksiä ja vastauksia Java-haavoittuvuudesta
28.8.2012 Java 7:n paikkaamatonta haavoittuvuutta käytetään hyväksi
27.7.2012 Mainospalvelut ja vanhat Java-versiot kiristyshaittaohjelman levittäjinä

http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/
http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html
http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248