Nettleserbruker i mange deler av verden, også i Norge, rammes nå av angrep som skyldes utnyttes av sikkerhetshull i Java 7-plattformen.
Pc-brukere i Norge og Danmark er spesielt utsatt, siden svært mange i de to landene er avhengige av Java for å kunne bruke enten BankID (i Norge) eller NemID (i Danmark) for å få tilgang til blant annet nettbanken sin. Java som plugin i nettleseren er blant den mest sårbarhetsutsatte, men legitime programvaren man kan ha på en datamaskin, noe som har ført til at det i økende grad stilles spørsmål ved teknologivalget til BankID og NemID.
En ganske samlet tropp av sikkerhetseksperter anbefaler nå at Java deaktiveres i alle nettlesere eller avinstalleres helt fra maskinen. Brukere som er nødt til å benytte Java i forbindelse med for eksempel BankID, anbefales å gjøre dette i en annen nettleser enn de benytter til alt annet.
Mikko Hyppönen, sjefsforsker i det finske sikkerhetsselskapet F-Secure, kom i går med følgende vittighet på Twitter, sammen med oppskrifter på hvordan man deaktiverer Java i ulike nettlesere:
Java™ - Write Once, Pwn Everywhere
Sårbarheten som nå utnyttes må sies å være blant de mest alvorlige som har rammet Java til nå. Likevel har Oracle på ingen synlig måte kommet med noen advarsler til brukerne. Det nevnes ikke engang noe på selskapets sikkerhetssider. Det naturlige, siden Java brukes av pc-brukere i alle kategorier, ville ha vært å komme med en godt synlig advarsel på Java-nettstedet, som nok er det stedet de fleste går for å finne Java. Men på den siden ser alt ut som det vante, og det finnes ikke engang noen lenke som henviser til sikkerhet.
Allerede på dette stadiet kan man stille seg svært kritisk til Oracles håndtering av saken, men nå viser det seg at situasjonen er faktisk enda verre.
Siden april
Til amerikanske Computerworld forteller Adam Gowdiak, grunnlegger og administrerende direktør i det polske sikkerhetsselskapet Security Explorations, at Oracle ble varslet om både denne sårbarheten og 18 andre sårbarheter i Java 7 allerede i april. Dette er også oppgitt i en pressemelding som det polske selskapet publiserte den 2. april.
Ifølge bloggen til sikkerhetsselskapet Immunity, er det ikke bare én, men to sårbarheter som utnyttes av angrepskoden som kalles for «Gondvv». Begge de to sårbarhetene er blant de som Security Explorations varslet Oracle om i april.
Men til Computerworld.com sier Gowdia i Security Explorations at selv om selskapet tilbød Oracle flere konseptbevis som kombinerte flere av sårbarhetene, så inkluderte dette ikke den samme kombinasjonen som utnyttes i Gondvv. Den ene sårbarheten finnes i klassen com.sun.beans.finder.ClassFinder.findClass, mens den andre finnes i com.sun.beans.finder.MethodFinder.findMethod.
Sårbarhetene gjør det mulig å omgå hele Java-sandkassen.
Oktober
Gowdia forteller at kommunikasjonen Security Explorations har hatt med Oracle har vært upåklagelig. Han forteller at Oracle har opplyst at de to aktuelle sårbarhetene vil fjernes fra Java 7 i sikkerhetsoppdateringen som planlegges i oktober.
Oracle gir ut Java-oppdateringer med to måneders mellomrom, men bare hver annen av disse inneholder sikkerhetsrelaterte feilfikser. Med de tre sikkerhetsoppdateringene som har kommet til Java 7 til nå, har Oracle fjernet 48 sårbarheter. Men bare tre av de totalt 29 sårbarhetene som det polske sikkerhetsselskapet har funnet.
– Vi vet ikke hvorfor Oracle har latt så mange alvorlige feil være igjen til oktober-CPUen [Critical Patch Update, red. anm.], sier Gowdia til Computerworld.
Les også:
- [14.01.2013] Java-nødfiks til å gråte av
- [12.01.2013] Oracle lover snarlig Java-fiks
- [11.01.2013] Kraftig advarsel mot Java
- [26.09.2012] Ny kritisk Java-sårbarhet
- [21.09.2012] 3 av 4 har ikke oppdatert Java
- [04.09.2012] – Java er sikkert nok
- [03.09.2012] Java-sandkassen knekket på nytt
- [31.08.2012] Oracle gir ut nødoppdatering til Java
- [28.08.2012] Nå bør du deaktivere Java