Får upp en dialog om Java Update till 7u21
 

Jag får nu upp en dialog när jag klickar på "nya inlägg" respektive när jag kör "citera" där jag uppmanas att uppgradera Java Security Update 7u21.

Problemet är att jag har senaste utgåvan av java och denna uppdatering har utgivare "simFlight Gmbh", dvs alltså inte Oracle som man skulle förvänta sig. Dialogen kommer upp tre gånger i följd. Är det WN som fått en trojan eller något fult som hamnat i min dator?

Jag kör Avast Virusskydd som brukar fånga det mesta skräpet.

https://dl.dropboxusercontent.com/u/...-04-22b%29.JPG

https://dl.dropboxusercontent.com/u/...-04-22b%29.JPG

troligen du som fått "virus".

Kolla raden "Från". Ser den seriös ut? Kolla nu riktigt noga...

Och hade det varit ifrån WN, så hade nog fler skrivit här.

Jag litar inte på att detta kommer från Oracle, då jag redan uppgtraderat min javaversion till 7.21 så jag är skeptisk....

Det går inte att stänga av denna installation heller....

Conny, det var min poäng.

URLen som är signerad är http://.../oracle.com, alltså definitivt INTE Oracle.

Det verkar som om simFlight har fått sitt certifikat kapat.

Har skickat det vidar etill Oracle så får vi se om de tar tag i det.....

Det betvivlar jag starkt, jag misstänker att det finns något på sidan som inte är riktigt kosher såsom Conny uppmärksammade. Jag är själv en säkerhetsfreak och installerar _aldrig_ något som ser misstänksamt ut eller går in på skumma sajter och kör alltid det senaste i säkerhetsväg. Fick denna "roliga" notifikation när jag idag gick in på wn.se:

http://s21.postimg.org/s284n1h07/conny.jpg

Jepp verkar som att något på WN försöker installera nåt på datorn.

Säkert nån av alla banners.

Den gången jag fick problem med sånt skräp så var det min OpenX-installation som, trots att den var av senaste version, blivit infekterad. Flera andra drabbades men det tog över ett dygn innan OpenX själva reagerade. Jag bytte till DPF och grottade inte mer i det.

Men det ser ut som att WN kör OpenX fortfarande.

Kan det vara så att det är WN.se som drabbats ändå?

Jag får upp dialogen hela tiden, sen klickar jag för rutan att inte visa den igen 8dialogen kommer upp tre gånger i följd) och sen när jag startar om webbläsaren eller efter en stund när jag trycker på "nya inlägg" så får jag upp skiten igen....

Hur blir jag av med skiten?
Är det verkligen bara jag som drabbats av detta?

Jag får bara denna dialog om Java Security Update på WN, inte på andra webbplatser.

Vad kör du för webbläsare?

Ej webbläsarrelaterat, får upp det i Opera, Chrome samt FF - senaste versioner såklart. Jag har kunnat se i dev tools/firebug att anrop till en halvskumm domän blockeras efter att nod32 triggades. Bara på WN.

Jag kör AdBlock Plus (och visserligen Mac) men skadlig kod för Java brukar vara plattformsoberoende så det kanske är någon banner i alla fall?

Detta är något som ligger i koden från wn.se. Kan bara åtgärdas av Administratörer så jag har meddelat dem om detta. Det är definitivt inte som det skall vara - tag inte hem denna "uppdatering" eller gör något annat som ni uppmanas att göra via popuper på WN tills dess att felet är åtgärdat på wn.se.

Vill återskapa Connys problem men får inte upp samma popup. Kan man återskapa problemet kan man ju se vart den hämtar det från och lokalisera vart det kommer från, och även vad det är - det är ju alltid roligt.

Länken den vill hämta ifrån är:

http://oracle.com-Java-SE.Runtime-En...t.dnsalias.kåm

Det skall naturligtvis vara .com i slutet på länken, men jag bytte det för att ingen skall begå harakiri av misstag.

Det är en javaapplikation som utformats för att likna en javauppdatering.

Dessutom verkar applikationen komma från en webbplats med giltigt och betrott certifikat. Lagom farligt.

Det här låter ju inte så bra. Jag får själv inte upp någon 'uppdatering', oavsett OS och webbläsare. Någon som känner sig manad att identifiera annonsen?

Det är något med annonssystemet så dom är borttagna tillsvidare. Sitter och jobbar med att få upp dem igen.

Jens & Alex: [IRONI]Ni måste ha credd för den enormt snabba reaktionstiden[/IRONI]

Jag fick samma men det är ju i samband med att java går ut med en update så det är ju inte så konstigt. Dom släppte ju en riktig update (21) 2013-04-16.

Det gör det extra farligt för jag var sekunder från att klicka för att installera uppdateringen, men jag hade gjort det från Oracle bara några minuter innan så jag blev misstänksam (jag är lite halvparanoid av mig).

Detta "giltiga" certifikat borde ju återkallas omedelbart, det verkar vara ett företag som har en webbshop (http://secure.simmarket.com )! Någon som har koll på proceduren för att göra det?

Är företaget i sig oskyldigt så borde de kanske informeras att deras certifikat är kapat, så de kan vidta lämpliga åtgärder, jag hittade dock ingen mejladress att använda på deras webbplats.

Riktig skit, fördelen är att vi fick tummen ur att byta system från OpenX. Så nu är det ofarligt att surfa på WN igen.

Gott att det löste sig.

Strålande, nu fick jag inte upp dialogen längre....

Tack för det!

Jag har mailat företaget nu. Återkommer om jag får svar.

simFlight GmbH
Nikolaus-Kopernikus-Str.4
55129 Mainz

Edit:
Kan passa på med en rekommendation, ifall man äger ett kodsigneringscertifikat ska man helst lagra det på en PKCS-kompatibel USB enhet, t.ex Aladdin e-token:
http://www.safenet-inc.com/products/...on/etoken-pro/

Det går då ej att stjäla certifikatet via remote attacker. Samma sak kan man göra med servrar, dvs sätta i en PKCS/HSM USB som lagrar den privata nyckeln till certifikatet.

On 25.04.13 11:32, Simon Persson wrote:
> Hi,
>
> Are you aware of that your code signing cert have been stolen and used
> by hackers to sign Java applets?
>
> I'm a member of a swedish webmaster forum, where the attack showed up:
> http://www.wn.se/t1057681.html
>
> You must contact your certificate provider and revoke the Code signing
> certificate immediately.
>
> Regards,
> Simon Persson

Är det nån som sparade certifikatet eller appleten? Ägaren Miguel vill gärna se vilket av deras cert hackaren har använt.