Denna delen av 99 uppdateras inte längre utan har arkiverats inför framtiden som ett museum.
Här kan du läsa mer om varför.
Mac-nyheter hittar du på Macradion.com och forumet hittar du via Applebubblan.

Allvarligt säkerhetshål - stäng av Java i din webbläsare

Tråden skapades och har fått 112 svar. Det senaste inlägget skrevs .
Ursprungligen av henkebarn:

Som jag förstår det aktiverar javascriptet som länkas till i huvudinlägget macens talfunktion och låter din dator spela upp ett meddelande. Med andra ord kan man skriva javaprylar som får din dator att göra saker utan ditt medgivande. Då blir din mac plötsligt lite utsatt om du hamnar på fel webbsidor. Surfar du bara på din internetbank, di.se och 99.se lär väl inget hända, men klickar du på en länk till en dum sida kan saker ske.

För att det inte ska bli några missförstånd påpekar jag bara att JavaScript inte är inblandat, bara Java. De är, trots likheten i namnen, helt olika saker.

Ursprungligen av Clavius:

F'låt en novis fråga - men VAD exakt är det som kan hända med denna 'säkerhetsläcka' !?
Vi hör oftast talas om dessa 'säkerhetshål' och brister, men vad innebär det rent konkret?

Mer konkret innebär det att jag kan skapa en webbsida som innehåller ett Java-program som körs när du surfar till den. Det skulle även kunna hända på helt legitima sajter som 99mac. Någon skulle t. ex. kunna komma över inloggningsuppgifter till servern eller utnyttja säkerhetsbrister i webbprogramvaran.

Normalt ska dessa Java-program inte ha några möjligheter att göra något på din dator eller ens komma åt filer. Men den här säkerhetsluckan tillåter programmet att göra allt som du själv kan göra och det öppnar för en hel del otrevliga möjligheter.

Ursprungligen av Clavius:

F'låt en novis fråga - men VAD exakt är det som kan hända med denna 'säkerhetsläcka' !?
Vi hör oftast talas om dessa 'säkerhetshål' och brister, men vad innebär det rent konkret?

Läste du mitt inlägg ovan?

Kan man utföra ett kommando så kan man göra nästan vadsomhelst, så länge det inte kräver root-access (dvs när du får upp en dialogruta om att ange lösenordet för ditt konto först). T.ex. radera alla dina filer i din hemkatalog.

  • Medlem
  • International user
  • 2009-05-22 02:44

Eller köra curl kommandot och ladda ner ett eget script eller program och köra igång det. Det kan vara vad som helst som man inte vill ha på sin dator.

//Rob

Nej, jag fattar inte helt
Detta har jag fattat - att man kan lägga in kod på t ex en webbsida så att ett valfritt unix-kommando kan utföras på besökande dator. Begränsningarna för vad det kan göra är de rättigheter jag har som användare - t ex radera alla egna filer men inte installer program eller annat som kräver administratörsbefogenher. Illa nog, det håller jag med om och java är avslaget i alla webbläsare här

Det jag inte har fått kläm på är om risken finns medan jag är ute och surfar eller om det finns kvar efteråt. Låt säga att jag med java påslaget varit på en sida och det har körts ett unix-kommando som raderar alla doc-filer
* Gäller det då där och då eller fortsätter det att "verka"?
* Om jag lämnar sidan och skapar en ny doc-fil, kommer den då att försvinna?
* Om jag stänger webbläsaren och startar en extern HD med backup kommer doc-filerna att försvinna därifrån?
* Om jag startar om datorn kommer då doc-filer i fortsättningen att försvinna?

Nej jag är inte paranoid. Det var kanske väl drastiskt exempel men det var mest för att göra tydligt vad det är jag inte fått kläm på.

  • Medlem
  • Uppsala
  • 2009-05-22 09:59

Det enkla svaret är väl just detta. Vad helst du kan göra som användare på datorn kan även en sådan attack innebära. Kan du som användare radera alla nya filer i din dokumentkatalog. Det kan du. Ja, då kan även detta ske.

  • Medlem
  • Norrköping
  • 2009-05-22 14:32

Jag använder Firefox och hör rösten säga "I am executing an ... (hör inte ordet) user process" men den text jag ser är "Hello World". Rösten läser inte upp texten. Är det fortfarande en säkerhetsrisk?

Ursprungligen av Homy:

Jag använder Firefox och hör rösten säga "I am executing an ... (hör inte ordet) user process" men den text jag ser är "Hello World". Rösten läser inte upp texten. Är det fortfarande en säkerhetsrisk?

Japp, man har ju fortfarande lyckats utföra ett kommando som får din dator att tala. Vad som sägs är alltså inte relevant, utan bara att möjligheten finns.

Hemskt säkerhetshål, snacka om riskabelt för dem som råkar komma in på fel sidor. :S

Ursprungligen av AxO:

Och alla PPC ägare och de som sitter kvar med 10.5.7? För dem tycker Apple att det är helt ok att få sina datorer hackade?

De lär ju täppa till hålet även för 10.5.7. Något annat vore ju otänkbart...
Fast det är riktigt illa att det fortfarande inte fixats, om det varit känt så här länge...

  • Medlem
  • 2009-05-22 15:04
Ursprungligen av Andreas Th:

De lär ju täppa till hålet även för 10.5.7. Något annat vore ju otänkbart...
Fast det är riktigt illa att det fortfarande inte fixats, om det varit känt så här länge...

Problemet var känt redan innan 10.5.6 släpptes.

Ursprungligen av Baron:

Problemet var känt redan innan 10.5.6 släpptes.

Oj, menade för alla som kör leopard så klart...
10.5.x.

  • Medlem
  • International user
  • 2009-05-22 16:04

Och för alla med Tiger?

//Rob

Ursprungligen av Robo-X:

Och för alla med Tiger?

//Rob

Nej, jag tror apple struntar i att patcha det och helt sonika hoppar över alla som kör Apple OS X 10.4 tiger... Och alla som kör Apple OS X Leopard server eller Apple OS X Tiger Server. ^^

Oj igen.

Nej givetvis inte. De måste ju uppdatera alla operstivsystem (de som är rimliga att uppdatera) där hålet finns tycker man.
Hoppas alla förstår vad jag menar, blir lite smått tokig här för att jag skrev så klumpigt.

Naturligtvis menar jag ALLA OS X som fortfarande uppdateras,
10.X≥4.X (?), och där javabuggen finns.
Väldigt illa om de inte gör det snart :/

Senast redigerat 2009-05-22 17:08
  • Medlem
  • Hemmesdynge
  • 2009-05-23 09:48

Nja, möjligen skulle man kunna tänka sig se en patch till 10.4, men allt äldre än det lär det aldrig komma någon uppdatering till, oavsett hur allvarligt säkerhetshålet är.

Min reflektion är att nu har vi substandard java OCH flash på vår plattform. Det är dags att detta åtgärdas nu.

Java krävs väl i Safari även för en hel del filhämtningar (programuppdateringar/dmg-filer)?

Ursprungligen av Stinky:

Java krävs väl i Safari även för en hel del filhämtningar (programuppdateringar/dmg-filer)?

Inte vad jag vet.

  • Oregistrerad
  • 2009-05-23 14:41
Ursprungligen av Stinky:

Java krävs väl i Safari även för en hel del filhämtningar (programuppdateringar/dmg-filer)?

Nope inte alls.

Ursprungligen av studiox:

Nope inte alls.

OK? Jag ser ju bara att jag inte kan uppdatera t ex VLC (från Safari) om jag bockar av Java. Får då felmeddelande. Bockar jag i Java igen fungerar det som vanligt. Jag testade att dra ner senaste VLC två ggr till från Safari och samma sak båda gångerna: utan Java, felmeddelande. Med Java, fungerar.

  • Medlem
  • Lund
  • 2009-05-23 18:55
Ursprungligen av Stinky:

OK? Jag ser ju bara att jag inte kan uppdatera t ex VLC (från Safari) om jag bockar av Java. Får då felmeddelande. Bockar jag i Java igen fungerar det som vanligt. Jag testade att dra ner senaste VLC två ggr till från Safari och samma sak båda gångerna: utan Java, felmeddelande. Med Java, fungerar.

Det finns inte ens en Java-applet på vlc-sidan. Du har inte råkat ta fel och stängt av JavaScript istället? Inte för att det ska hindra dig från att ladda ner VLC, men sidan renderas lite annorlunda.

(JavaScript har, som redan nämnts otaliga gånger, ingenting med Java att göra.)

Ursprungligen av hugin:

Det finns inte ens en Java-applet på vlc-sidan. Du har inte råkat ta fel och stängt av JavaScript istället? Inte för att det ska hindra dig från att ladda ner VLC, men sidan renderas lite annorlunda.

Självklart stänger jag inte av javascript! Mycket märkligt. Prövade nu igen och precis samma sak… Måste ju vara något helt annat som händer.

Jag har inga problem med att ladda ner VLC utan Java.

  • Medlem
  • International user
  • 2009-05-24 03:11

Såg att om man vill så kan man själv täppa igen säkerhetshålet genom att ladda ner suns java version och ändra Apples jdk. Mer info på den här sidan. Instruktioner finns för båda 10.4.x och 10.5.x.

//Rob

Leopold?

  • Medlem
  • International user
  • 2009-05-24 13:34

Hålet verkar vara tilltäppt i den version av Safari som följer med senaste betan av Snow Leopard.

  • Medlem
  • International user
  • 2009-05-24 14:44
Ursprungligen av Konrad:

Hålet verkar vara tilltäppt i den version av Safari som följer med senaste betan av Snow Leopard.

Det är ett java problem och inte safari. Kanske har Apple fixat säkerhetshålet i senaste versionen utab java i snow leopard.

//Rob

  • Medlem
  • International user
  • 2009-05-24 14:45
Ursprungligen av Robo-X:

Det är ett java problem och inte safari. Kanske har Apple fixat säkerhetshålet i senaste versionen utab java i snow leopard.

//Rob

Ja, så är det nog. Hör ingen röst, som man ska om det är knas i alla fall, när man kollar länken.

  • Medlem
  • International user
  • 2009-05-24 16:03
Ursprungligen av Konrad:

Ja, så är det nog. Hör ingen röst, som man ska om det är knas i alla fall, när man kollar länken.

Skriv java -version i Terminalen för att kolla java versionen.

På min Macbook Pro i 10.5.7 står det.

java version "1.5.0_16"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.5.0_16-b06-284)
Java HotSpot(TM) Client VM (build 1.5.0_16-133, mixed mode, sharing)

//Rob

  • Medlem
  • 2009-05-24 16:09
Ursprungligen av Robo-X:

Skriv java -version i Terminalen för att kolla java versionen.

På min Macbook Pro i 10.5.7 står det.

java version "1.5.0_16"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.5.0_16-b06-284)
Java HotSpot(TM) Client VM (build 1.5.0_16-133, mixed mode, sharing)

//Rob

Samma i 10.5.6.

  • Oregistrerad
  • 2009-05-25 18:51
Ursprungligen av Robo-X:

Det är ett java problem och inte safari. Kanske har Apple fixat säkerhetshålet i senaste versionen utab java i snow leopard.

//Rob

Ja det verkar så. Jag hör ingenting.

Java Plug-in 1.6.0_13
Använder JRE-version 1.6.0_13 Java HotSpot(TM) 64-Bit Server VM
Användarens hemkatalog = /Users/studiox

  • Medlem
  • International user
  • 2009-05-26 00:46
Ursprungligen av studiox:

Ja det verkar så. Jag hör ingenting.

Java Plug-in 1.6.0_13
Använder JRE-version 1.6.0_13 Java HotSpot(TM) 64-Bit Server VM
Användarens hemkatalog = /Users/studiox

Verkar som Apple har uppdaterat java i Snow Leopard. 64bit java i Leopard är:

java version "1.6.0_07"
Java(TM) SE Runtime Environment (build 1.6.0_07-b06-153)
Java HotSpot(TM) 64-Bit Server VM (build 1.6.0_07-b06-57, mixed mode)

//Rob

Tur att man inte kör apple-server. Det verkar ju livsfarligt om det tar sån tid att täppa till hålen.

Bevaka tråden