RSS

Trojan utnyttjar sårbarhet i Java på Mac

06 Apr

I veckan har det uppmärksammats att runt 600.000 Mac-datorer har infekterats av en trojan. (IDG, DN, SvD) Det är inte helt oväntat, men jag tycker ändå synd om alla Macanvändare. Problemet, som jag ser det, är tyvärr inte bara något som berör Mac, utan alla operativsystem.

Det var det ryska säkerhetsföretaget Dr. Web som upptäckte att så många Macar var smittade.

Systems get infected with BackDoor.Flashback.39 after a user is redirected to a bogus site from a compromised resource or via a traffic distribution system. JavaScript code is used to load a Java-applet containing an exploit. Doctor Web’s virus analysts discovered a large number of web-sites containing the code.

The vulnerability has been closed by Apple only on April 3 2012. (Dr. Web)

På TechWeek Europe skrev man om det här den 29 oktober 2011. Nu fick man anledning att skriva om det igen. På säkerhetsföretaget F-Secure hittar man både en mer teknisk beskrivning och ett sätt att bli av med trojanen.

Enligt en intervju för BBC säger en representant för Dr. Web att att man inte sett någon illasinnad aktivitet från den här trojanen ännu.

Farligt med JavaScript

Det var alltså genom ett så kallat JavaScript på olika webbsidor som man kunde ladda ner ett program som utnyttjade en sårbarhet i körningen av Java-program i två versioner av Mac OS X.

För mig visar det ytterligare en gång att det är farligt att surfa runt med sin webbläsare utan att stänga av möjligheten för webbsidor att köra JavaScript. Problem är bara att webben idag, det som kallas för webb 2.0, bygger på JavaScript. Många av de funktioner vi vant oss med under 2000-talet har sin grund i det som kallas Ajax, där JavaScript är en av komponenterna.

Använder du webbläsaren Firefox bör du installera tillägget NoScript om du bara är ute och slösurfar! Det troliga är att flera funktioner på sidan inte fungerar, men om det inte stör dig är det ingen skada skedd och du har minskat risken för att bli utnyttjad. Däremot kan du välja att aktivera script för de sidor du behöver lita på för att utföra vissa ärenden.

Det här visar också att det kan vara farligt med Flash. Även det kan man undvika genom att installera tillägget Flashblock, vilket ger en möjlighet att styra vilka webbsidor som får köra flashanimationer.

Uppdatera!

Rådet här är väl också att hålla sitt system uppdaterat. Apple kunde i det här fallet täppa till hålet. Oracle, som äger Java, gjorde det för några veckor sedan, men eftersom Apple sköter sina egna uppdatering, kom de några veckor efter.

Själv kunde nu också göra en uppdatering av motsvarande program för hantering av Java på min Ubuntu. Så fanns det ett motsvarande hål i säkerheten på Linuxsystem så är det nu tilltäppt.

Jag tänker att det finns fyra vägar från internt in i min dator: Flash, Java, JavaScript och PDFer. Så på olika sätt måste jag se till att skydda mig från dem, utan att för den skulle hindra mitt surfande allt för mycket. Jag behöver då några tillägg till webbläsaren och att mitt system har de senaste säkerhetsuppdateringarna.

Uppdatering 120407
Mozillas säkerhetsblogg läser jag idag om hur man i Firefox har blockerat de tillägg där den aktuella sårbarheten finns. Tydligen har det orsakat en del kritik runt om i världen, men Mozilla ansåg att faran var överhängande. Det var också ett sätt att tala om att den version av Java som användes måste uppdateras.

Det står också att det här problemet med Java även påverkade datorer som kör Windows. Men eftersom Windows ändå drar till sig ohyra fick det inte samma uppmärksamhet som när en Mac blev infekterad. I det här fallet var det dessutom över en halv miljon!

Så i det här fallet handlar det inte om osäkra operativsystem, utan om ett samspel mellan webbläsaren och programmeringsspråket Java, något som är aktuellt på många datorer. Jag är bara så glad att jag använder Ubuntu och då får snabba uppdateringar, samt att Linuxsystem ännu inte är lika attraktiva som måltavla för hackare.

Uppdatering 120423
Tydligen startade den här attacken med komprometterade WordPressbloggar.

Essentially, the compromised WordPress blogs contained code that silently redirected users who had clicked on the blog to another site, Gostev said. The malicious site determined key attributes of the users’ systems, including the operating system and browser version running on the machine. That information was sent to another server, which then sent the appropriate malware for the system’s operating environment.

Det finns nu också en artikel som mer i detalj beskriver anatomin över attacken.

 
Lämna en kommentar

Publicerat av på 06 april 2012 i Dator, Internet, Säkerhet

 

Etiketter: , , , , , , , ,

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

 
%d bloggare gillar detta: