Ny kritisk Java-sårbarhet

Denne truer én milliard brukere.

26. sep. 2012 - 09:39

Hullene i Java har etter hvert blitt så mange og alvorlige at eksperter flest for lengst har anbefalt brukere å deaktivere støtten i nettleseren.

Igjen er det oppdaget en kritisk sårbarhet som knekker sikkerhetssandkassen i Java. Denne gangen er så godt som alle klientinstallasjoner av Java rammet.

Java SE 5, 6 og 7 - utgivelser de siste åtte årene skal alle være berørt. Sårbarheten skal ramme alle nettlesere som har Java-støtten aktivert, deriblant Internet Explorer, Chrome, Firefox, Opera og Safari – og åpner for full kontroll av datamaskinen ved angrep med ondsinnet kode skjult på nettsider.

I alt er over én milliard datamaskiner truet, hvis vi skal dømme etter tall fra Oracle som utgir programvaren.

Det er forskere ved det polske sikkerhetsselskapet Security Explorations som står bak funnet. I sin kunngjøring påberoper de seg et jubileum. Dette skal være femtiende gang de har avslørt alvorlige sårbarheter i Java siden april 2012. De har også lagt ut en logg hvor de redegjør for dialogen med ulike berørte leverandører.

Security Explorations er det samme firmaet som avslørte sårbarheten i Java som ble kjent i slutten av forrige måned. I alt har selskapet varslet Oracle om nærmere 30 kritiske sårbarheter, mange av dem er ennå ikke avslørt - ei heller håndtert i form av lappesaker fra leverandøren.

Selv om august-sårbarheten (CVE-2012-4681) ble fikset av Oracle med en ekstraordinær oppdatering en ukes tid senere, ble det straks oppdaget enda en kritisk feil. Det er en sårbarhet Oracle ennå ikke har utgitt en feilfiks mot.

Situasjonen er altså den at Oracle ikke rekker å fjerne sårbarhetene som avsløres i Java før det dukker opp nye. I tillegg viser tall fra sikkerhetsbransjen at minst 3 av 4 ikke har installert de sikkerhetsoppdateringene som tross alt foreligger.

De som lyttet til råd fra en samlet sikkerhetsbransje deaktiverte støtten for programvaren i nettleseren forrige måned. Spørsmålet som stadig gjentar seg er om det ikke nå er på tide å avinstallere Java en gang for alle.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.