Oracle kom torsdag i forrige uke med en etterlengtet og ekstraordinær sikkerhetsoppdatering til selskapets Java-plattform. Oppdateringen fjerner flere sårbarheter i programvaren. To av disse sårbarhetene har blitt utnyttet i aktive angrep, også i Norge.
Selv om installasjon av sikkerhetsoppdateringen fjerner den umiddelbare faren, betyr den ikke at Java ikke lenger er blant den mest risikable, legitime programvaren man kan ha installert. Mange sikkerhetseksperter anbefaler fortsatt at Java deaktiveres i nettleseren eller avinstalleres helt – et råd Oracle riktignok er helt uenige i.
Men allerede fredag i forrige uke fikk Java nok et skudd for baugen, etter at det polske sikkerhetsselskapet som varslet Oracle om de nevnte sårbarhetene allerede i april, på nytt har funnet en måte å omgå sikkerhetssandkassen i Java. Dette arbeidet skal bare ha tatt noen timer.
Til Infoworld forteller Adam Gowdiak, administrerende direktør i Security Explorations, at Oracle har blitt sendt informasjon om denne sårbarheten, sammen med et konseptbevis.
Sårbarheten som også finnes i den nyeste versjonen av Java 7, Update 7, skal kunne kombineres med andre og tidligere kjente sårbarheter som Oracle så langt har unnlatt å fjerne. Resultatet er altså at sikkerhetssandkassen i Java har blitt omgått på nytt.
Security Explorations har siden april varslet Oracle om nærmere 30 sårbarheter i Java 7, hvorav bare en håndfull har blitt fjernet til nå. Men i den nyeste sikkerhetsoppdateringen er det også en sikkerhetsfiks som bidrar til å gjøre det vanskeligere å utnytte mange av disse. Den fjerner ikke selve sårbarhetene, men førte likevel til at samtlige av konseptbevisene det polske sikkerhetsselskapet hadde laget, sluttet å fungere. Dette forteller Gowdiak til Infoworld, som understreker at selv om angrepsvektorens som selskapet benyttet, nå er borte, så er selve sårbarhetene fortsatt tilstede.
– Så snart vi så at alle vår kode for omgåelse av Java-sandkassen sluttet å virke etter at oppdateringen var blitt installert, kikket vi på nytt på konseptbeviskodene og begynte å tenke på mulige måter for på nytt å knekke den siste Java-oppdateringen. En ny idé dukket opp, den ble verifisert, og det viste seg at det var det som skulle til, forteller Gowdiak.
Han legger til at han synes at Java 7 er overraskende mye enklere å knekke enn Java 6, hvor Security Explorations ikke har greit å oppnå full omgåelse av sikkerhetssandkassen.
Hvilke planer Oracle har for å fjerne de resterende av de kjente sårbarhetene i Java 7, er ukjent. Selskapet skal ikke ha villet kommentere den omtalte sårbarheten, men viser ifølge Ars Technica bare til dette blogginnlegget, som omhandler sikkerhetsoppdatingen fra forrige uke.
Mange antivirusverktøy sviktet
Svært mange pc-brukere håper på at antivirusløsningen de benytter skal beskytte datamaskinen mot angrep av den typen som Java-sårbarhetene åpnet for. Torsdag i forrige uke testet Heise Security 22 ulike antivirusverktøy for å se om disse fanget opp skadevaren som ble kjørt direkte fra ulike websider, også legitime.
Det skal ha blitt testet med to varianter av angrepskoden. Bare 9 av de 22 sikkerhetsverktøyene som ble testet, greide å stoppe begge. Dette var Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos og Symantec.
Antivirusverktøyene AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus, Trend Micro og Webroot oppdaget ingen av de to angrepskodene, mens Microsofts Security Essentials oppdaget den grunnleggende utgaven av angrepskoden. På dette tidspunktet hadde angrepskodene sirkulert på nettet i flere dager.
Verktøyene fra Avast, Microsoft og Panda var gratisversjoner, mens de øvrige verktøyene som ble testet, var programvare som koster penger.
Heise Security mener at resultatet av testen understreker at det ikke er nok å ha antivirusverktøy installert. Man må også sørge for at resten av programvaren i systemet er oppdatert med de siste sikkerhetsfiksene. Men heller ikke dette er tilstrekkelig, dersom ikke programvareleverandørene sørger for å fjerne sårbarheter før de blir oppdaget og utnyttet av ondsinnede.
Les også:
- [14.01.2013] Java-nødfiks til å gråte av
- [12.01.2013] Oracle lover snarlig Java-fiks
- [26.09.2012] Ny kritisk Java-sårbarhet
- [21.09.2012] 3 av 4 har ikke oppdatert Java
- [05.09.2012] Java-svada
- [04.09.2012] – Java er sikkert nok
- [31.08.2012] Oracle gir ut nødoppdatering til Java
- [30.08.2012] Fikk vite om Java-sårbarhet i april
- [29.08.2012] Teknisk Ukeblad annonse-hacket
- [28.08.2012] Nå bør du deaktivere Java