Oracle brøt i går kveld den rungende stillheten selskapet har utøvd i forbindelse med de kritiske sikkerhetsproblemene knyttet til selskapets Java-plattform. Dette skjedde i forbindelse med at selskapet kom med ekstraordinære sikkerhetsfikser til både Java 6 og Java 7. Dette er en oppdatering som alle som har Java-installert på maskinen, bør installere så raskt som mulig.
Sikkerhetsoppdateringen til Java 7, som kalles for Java 7 Update 7, fjerner i alt fire sårbarheter. Tre av disse regnes av Oracle som svært alvorlige. Disse finnes i Java Beans. I alle fall én av disse sårbarhetene er blant de som har blitt utnyttet i angrep blant annet via et norsk nettsted.
Java 6 er ikke berørt av noen av de tre mest alvorlige sårbarhetene. Det er bare den fjerde av sårbarhetene som nå fjernes fra Java 7, som også fjernes fra Java 6. Denne anses ikke for å være direkte utnyttbar, men kan trolig utnyttes i kombinasjon med andre sårbarheter.
Flere detaljer om sikkerhetsoppdateringene finnes på denne siden.
Flere av sårbarhetene som har blitt fjernet nå, var såkalte nulldagssårbarheter. Dette er sårbarheter som har blitt offentlig kjent og i verste fall også utnyttet før en sikkerhetsfiks er tilgjengelig for brukerne.
Selv om Oracle nå fjerner de aller verste av sårbarhetene i Java, betyr ikke dette at faren er over. Det polske sikkerhetsfirmaet Security Explorations har alene varslet Oracle om ytterligere minst 22 sårbarheter som ennå ikke har blitt fjernet. Det er bare et tidsspørsmål før disse også blir funnet av ondsinnede. Det må antas at mange av disse gir de samme muligheter for angrep som de sårbarhetene som nå har blitt fjernet.
Java-plattformen har de siste årene blitt blant de aller mest populære angrepsvektorene for it-kriminelle. Java-programvaren er installert på svært mange datamaskiner, og sårbarheten er som oftest mulige å utnytte uavhengig av hvilket operativsystem datamaskinen kjører.
Oracle har siden Java 7 ble lansert i juli i fjor fjernet 52 sårbarheter fra programvaren. Det er ikke noe galt ved at sårbarheter oppdages og fjernes, men Java-plattformen er et kraftig verktøy som også gir uvedkommende store muligheter til å gjøre skade. Da er det viktig at sårbarheter blir fjernet raskt, slik at mulighetene for at andre skal greie å utnytte sårbarhetene reduseres mest mulig.
Men hyppige oppdateringer av programvaren er ikke alltid populært blant mange av brukerne. Det å gjøre det enda enklere å installere oppdateringene, gjerne uten at brukerne må bistå – en tilnærming både Adobe, Microsoft, Mozilla og Google nå har innført på mange områder – vil likevel gjøre det mindre brysomt med hyppige oppdateringer.
På servere er det vanlig å ikke kjøre flere tjenester eller programmer enn det som strengt tatt er nødvendig, for å unngå at disse åpner opp flere måter for uvedkommende å trenge seg inn. Dette kan være en god grunnregel også for mange pc-brukere. Har man ikke stadig behov for for eksempel Java, så sørg for å deaktivere eller avinstallere programvaren.
Les også:
- [18.03.2013] Solid nedgang i Windows-sårbarheter
- [26.09.2012] Ny kritisk Java-sårbarhet
- [21.09.2012] 3 av 4 har ikke oppdatert Java
- [04.09.2012] – Java er sikkert nok
- [03.09.2012] Java-sandkassen knekket på nytt
- [30.08.2012] Fikk vite om Java-sårbarhet i april
- [29.08.2012] Teknisk Ukeblad annonse-hacket
- [28.08.2012] Nå bør du deaktivere Java
- [15.08.2011] Adobe og Java er verst på sikkerhet