Oracle har i løpet av februar kommet med to sikkerhetsoppdateringer til Java Runtime Environment (JRE). Til sammen har 55 sårbarheter blitt fjernet, noe som nok utgjorde de fleste av de kjente sårbarhetene i programvaren, men ikke alle.
Polske Security Explorations, som har oppdaget og varslet Oracle om svært mange Java-sårbarheter det siste året, kom i går en med liten oppdatering hvor det fortelles at det fortsatt finnes i alle fall tre sårbarheter i den nyeste utgaven av JRE.
To av disse sårbarhetene har først nylig blitt oppdaget av sikkerhetsselskapet. Informasjon om disse er sammen med konseptbevis blitt sendt til Oracle, som nå undersøker problemene. Dette er sårbarhet nummer 54 og 55 i rekken som Security Explorations har funnet siden april i fjor.
I tillegg til de to nye sårbarhetene, er sårbarheten som Security Explorations kaller for Issue 51 fortsatt under granskning hos Oracle. Dette går fram av en månedlig statusrapport som Oracle har levert til Security Explorations.
Til Softpedia forteller Adam Gowdiak, administrerende direktør i Security Explorations, at de to nyoppdagede sårbarhetene kun berører Java 7.
– De tillater misbruk av Reflection API på en spesielt interessant måte, sier Gowdiak.
De nylige angrepene mot blant annet Apple, Facebook og Microsoft skal alle være gjort med utgangspunkt i sårbarheter i Java. Dette bekrefter at Java-plattformen fortsatt utgjør en populær vektor for IT-angrep.
I forrige uke ble det funnet kode som kan brukes til angrep av sårbarheten CVE-2013-0431, som ble fjernet fra JRE i Java 7 update 13, som kom den 1. februar. Ifølge Rapid7 tilbys denne koden nå gjennom angrepspakker som Cool EK og Popads, samt som en modul til Metasploit.
Rådet om at man kun har Java installert på pc-en dersom man faktisk har behov for det, står ved lag. Dersom man må ha Java installert, fordi man er nødt til å bruke BankID eller andre, Java-baserte klientløsninger, så må man sørge for at man til enhver tid har den nyeste versjonen av Java.
Mens Linux-distribusjoner og OS X i stor grad sørger for oppdatering av Java via egne løsninger, må Windows-brukere gjøre dette på egenhånd. Eksisterende Java-installasjoner vil i blant varsle brukerne når en oppdatert utgave er tilgjengelig, men for mange vil det være bedre å overlate dette til en automatisk
Java RE-installasjonen for Windows varsler brukeren når det er en ny versjon tilgjengelig, men dette krever at brukeren er oppmerksom. For mange private pc-brukere vil det være bedre å bruke en mer automatisert løsning, for eksempel Secunia PSI, som ikke bare varsler brukeren om nye programvareoppdateringer, men som også kan installere disse automatisk i bakgrunnen, uten at brukeren behøver å gjøre noe som helst.
Dersom man ikke har behov for kjøring av Java-applikasjoner i nettleseren, kan støtten for dette deaktiveres helt i Java-kontrollpanelet som er tilgjengelig via det vanlige kontrollpanelet i Windows.
Må man benytte BankID eller andre Java-baserte applikasjoner i nettleseren, bør man bruke disse i én annen nettleser enn den man benytter til alt annet. I nettleseren man vanligvis bruker, bør man da deaktivere støtten for Java.
Les også:
- [05.03.2013] Last ned nødfiks til Java
- [01.03.2013] Nye Java-angrep pågår
- [25.02.2013] Også Microsoft ble angrepet
- [20.02.2013] Fjerner fem sårbarheter fra Java
- [04.02.2013] Oracle fjerner 50 Java-sårbarheter
- [31.01.2013] Tror sårbar Java er trygg