Elektronisk signering med BankID
Säkerhetsforskare varnar för att cyberkriminella har börjat använda Java-exploits signerade med digitala certifikat för att lura användare att tillåta att skadlig kod körs i webbläsare.
Ett signerat Java-exploit upptäcktes måndag på en webbplats som tillhör Chemnitz tekniska högskola i Tyskland som smittades med en webb-verktygssats som heter g01pack, säkerhetsforskare Eric Romang sa tisdag i ett blogginlägg.
"Det är definitivt go01 pack", Jindrich Kubec, chef för hot intelligence at antivirusleverantör Avast, sa via e-post. Det första urvalet av detta signerade Java-exploit upptäcktes den 28 februari, sa han.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]Det var inte omedelbart klart om detta utnyttjar en ny sårbarhet eller en äldre Java-fel som redan har blivit patched. Oracle släppte nya säkerhetsuppdateringar för Java på måndagen för att ta itu med två kritiska sårbarheter, varav en av dem utnyttjades aktivt av attacker.
Java-operationer har traditionellt levererats som osignerade applets-Java Web-applikationer. Utförandet av sådana applets brukade automatiseras i äldre Java-versioner, vilket gjorde det möjligt för hackare att starta nedladdningsangrepp som var fullständigt transparenta för offren.
Från och med januariutgåvan av Java 7 Update 11, är standard säkerhetskontrollerna för webbaserat Java-innehåll inställt på hög, vilket uppmanar användarna att bekräfta innan appletter får köra inuti webbläsare, oavsett om de är digitalt signerade eller inte.
Med det sagt, Att använda signerade exploits över osignerade ger inte fördelar för angripare eftersom bekräftelsesdialogerna som visas av Java i de två fallen är väsentligt olika. Dialogrutorna för osignerade Java-applets är faktiskt titeln "Security Warning."
Digital signering är en viktig del för att försäkra användare att de kan lita på din kod, säger Bogdan Botezatu, en äldre e-hotanalytiker hos antivirusleverantören Bitdefender, via e-post. Bekräftelsesdialogrutan som visas för signerad kod är mycket mer diskret och mindre hotande än den som visades vid osignerad kod, säger han.
"Dessutom bearbetar Java sig självt signerad och osignerad kod på ett annat sätt och tillämpar säkerhetsbegränsningar på lämpligt sätt," Botezatu sa. Om Java-säkerhetsinställningarna till exempel är inställda på "mycket höga", kommer de osignerade appletsna inte att köras alls medan signerade appletter körs om användaren bekräftar åtgärden. I företagsmiljöer där mycket höga Java-säkerhetsinställningar verkställs kan kodsignering vara det enda sättet för angripare att köra en skadlig applet på ett riktade system, säger han.
Detta nya Java-exploit har också avslöjat det faktum att Java inte kontrollerar för digitala certifikatåterkallelser som standard.
Utnyttjandet hittades av forskare måndagen undertecknades med ett digitalt certifikat som sannolikt stulits. Certifikatet utfärdades av Go Daddy till ett företag som heter Clearesult Consulting baserat i Austin, Texas, och upphävdes senare med ett datum den 7 december 2012.
Certifikatåterkallelser kan gälla retroaktivt och det är inte klart när exakt Go Daddy flaggade intyg om återkallelse. Men den 25 februari, tre dagar innan det äldsta provet av detta utnyttjande upptäcktes, var certifikatet redan listat som återkallat i certifikatåterkallningslistan som publicerades av företaget, sade Kubec. Trots detta ser Java certifikatet som giltigt.
På fliken "Avancerad" på kontrollpanelen i Java, under kategorin "Avancerade säkerhetsinställningar" finns två alternativ som heter "Kontrollera certifikat för återkallande med hjälp av certifikatåterkallningslistor (CRL) "Och" Aktivera validering av online-certifikat "- det andra alternativet använder OCSP (Online Certificate Status Protocol). Båda dessa alternativ är avstängda som standard.
Oracle har inga kommentarer till den här frågan vid den här tiden. Oracles PR-agentur i Storbritannien sa tisdag via e-post.
"Uppoffring av säkerhet för bekvämlighet är ett seriöst säkerhetsövervakning, speciellt som Java har varit den rikaste tredjepartstycket av programvara sedan november 2012, säger Botezatu. Oracle är dock inte ensam i detta, sade forskaren och noterade att Adobe skickar Adobe Reader 11 med en viktig sandlåsmekanism som vanligtvis är avstängt av användbarhetsskäl.
Både Botezatu och Kubec är övertygade om att angripare i allt större utsträckning börjar använda digitalt signerade Java exploaterar för att kringgå Java: s nya säkerhetsrestriktioner lättare.
Säkerhetsfirman Bit9 avslöjade nyligen att hackare skadade ett av sina digitala certifikat och använde det för att signera skadlig programvara. Förra året gjorde hackare detsamma med ett kompromissat digitalt certifikat från Adobe.
Dessa incidenter och den här nya Java-exploiten är ett bevis för att giltiga digitala certifikat kan sluta signera skadlig kod, sade Botezatu. I detta sammanhang är det aktivt viktigt att kontrollera att certifikat återkallas, eftersom det är den enda begränsningen som finns tillgänglig vid certifikatkompromiss, sa han.
Användare som behöver Java i en webbläsare dagligen bör överväga att möjliggöra att certifikatåterkallningskontroll förbättras skydda mot attacker som utnyttjar stulna certifikat, säger Adam Gowdiak, grundare av polska sårbarhetsforskningsfirman Security Explorations, via e-post. Säkerhetsundersökningar forskare har hittat och rapporterat över 50 Java-sårbarheter under det gångna året.
Medan användare manuellt ska aktivera alternativen för återkallande av certifikat kommer många av dem troligen inte att göra det, eftersom de inte ens installerar säkerhetsuppdateringar, säger Kubec. Forskaren hoppas att Oracle automatiskt kommer att aktivera funktionen i en framtida uppdatering.
Den första iPhone var revolutionerande, den första smartphone som verkligen fungerade. Människor som förväntar sig morgondagens iPhone 3G S eller gårdagens iPhone 3.0-uppgradering för att vara lika spännande kommer att bli besvikna. Inte för att produkten är dålig, men för att det är svårt för någon tredje utgåva att vara lika dramatisk som den första.
Jag försökte medvetet memorera de nya funktionerna i iPhone 3.0-programvaran, så jag kunde uppleva den så kallade "glädjen av upptäckt." Hittills, medan min fru försäkrar mig om att klippa och klistra in där, har jag inte funnit något behov av det.
1. T-Mobile, Microsoft berätta för Sidekick-användare att vi fortsätter att göra allt vi kan för att återställa data och Sidekicks lektion: Säkerhetskopiera dina data: T-Mobile och Microsoft talade äntligen för att de skulle hantera problem som orsakade Sidekick-användare att förlora data och strider mot anslutningsproblem. Användare av smarttelefonen hade problem för dagar, så företagens försenade reaktion störde många av dem. Under tiden fungerar problemen som en påminnelse om att det är vikti
2. Starent buy fortsätter Ciscos riktning mot samarbete och video: Cisco Systems planerar att lägga till Internet Protocol-baserad mobilinfrastrukturleverantör Starent Networks till sin portfölj för en cool 2,9 miljarder US-dollar. Cisco meddelade den 1 oktober att det är att köpa videokonferens stalwart Tandberg för cirka 3 miljarder dollar. Kombinationen ledde Computerworlds Matt Hamblen att likna Cisco till en 1930-talet Hollywood mogul, med fingrarna som nått distribution och innehåll, inklu
I det här inlägget ser vi hur du använder PowerShell Scripts för att skapa och lägga till Shutdown, Starta om, Logoff, Switch User, Hibernation Tiles to Windows 10/8 Startskärm. Som du vet har Windows 8 en startskärm som ersätter startmenyn. Och detta för många är fortfarande oro eftersom de är vana vid Windows 7 Start-knappen som ger denna meny. Även om jag kan säga att med lite lärande och användning börjar du likna Start-skärmen lika - om inte mer. Men för vissa Windows 8-användare är det vik
Vi har redan sett 10 olika sätt att stänga av eller starta om Windows 8. I det här inlägget ser vi hur man skapar en Shutdown, Restart, Switch User, Hibernation och Logoff-kakel för Windows 8 med hjälp av