Java har lenge tronet øverst på en lite hyggelig liste: Den over sårbar programvare som oftest utnyttes av ondsinnede til å kapre datamaskiner.
Men mange uker etter avsløringene om nye kritiske Java-hull, som for lengst er implementert i kjente angrepsverktøy – og gjenstand for aktive hackerangrep også her til lands – har fortsatt svært mange ikke sikret seg.
78 prosent er sårbare
Ifølge tall fra IT-sikkerhetsselskapet Mnemonic, som oppgir å være størst i Norden innen sitt fagfelt, har bare 22 prosent installert den nyeste sikkerhetsoppdateringen for Java.
- Vi fant at 78 prosent av alle Java-applikasjoner i løpet av en uke, ble kjørt med en sårbar Java-versjon, opplyser markedssjef Mike Wawro i Mnemonic til digi.no.
Det er all grunn til å være bekymret for sårbare versjoner av Java. - Jeg tror disse tallene kan overføres til den generelle befolkningen, sa seksjonssjef Marie Moe ved NorCERTs operasjonssenter til Dagbladet onsdag.
Analysen til Mnemonic bygger på overvåkning direkte i kundenes nettverk, gjennom et såkalt Intrusion Detection and Protection System (IDS/IPS) som de håndterer på vegne av kundene.
Selskapet har sett på unike klienter hos bedriftskundene. Størrelsen på utvalget var rundt 53.000 unike IP-adresser, som ifølge Wawro er et lite uttrekk av det totale antallet klienter i nettverkene de forvalter globalt.
- Ikke gjort i en fei
Marie Moe hos NorCERT er overrasket over at såvidt få har oppgradert til nyeste versjon Java.
- Ja, jeg synes det var litt overraskende at det tar så lang tid å oppgradere systemene. Men hos bedrifter tar det ofte litt lengre tid å rulle ut sikkerhetsoppdateringer. Det er ikke gjort i en fei, slik det er blant hjemmebrukere, sier seksjonssjefen til digi.no.
Hun tror ikke det skyldes dårlig vilje, men peker på at det å oppgradere programvaren kan være en stor prosess i virksomheter med veldig mange klienter. Særlig for virksomhetskritiske applikasjoner vil Java-oppdateringer kanskje måtte testes i et labmiljø før den tas i bruk.
Det tok en stund før Oracle kom på banen - Treg patche-syklus
- I hvilken grad synes dere i NorCERT at leverandøren, Oracle, har gjort nok for å sikre kunder mot sårbarhetene i Java?
- Oracle gir ikke ut sikkerhetsoppdateringer særlig ofte, den neste planlagte oppdateringen var ikke før i oktober. Så det var bra at de ga ut en fiks nå utenfor ordinær patche-syklus, men det var likevel en uke hvor brukerne ble utsatt for risiko ved å bruke Java.
Det som er viktig når det kommer en zero-day (nulldagssårbarhet) er at leverandøren gir rask og tydelig informasjon til brukerne. Det tok en stund før Oracle kom på banen med informasjon i dette tilfellet, sier Moe.
Hun medgir også at det kan være tungvint å oppgradere Java.
- Det er ikke så lett for enhver bruker å gjøre dette selv. Det krever aktive valg og skjer ikke bare automatisk som med en del annen programvare.
- Det må være opp til brukeren å vurdere om det er kritisk å ha Java installert eller ikke, sier Moe.
For de som er avhengig av Java har Moe flere råd. De kan benytte seg av en nettleser med Java-støtten aktivert, som bare benyttes i de tilfeller der man har behov for Java, og en annen nettleser for alt annet.
Det andre som kan vært lurt er å benytte seg av nettlesertillegg som blokkerer skript fra å kjøre automatisk i nettleseren.
Oracle i Norge har ikke ønsket å kommentere denne saken.
Les også:
- [18.03.2013] Solid nedgang i Windows-sårbarheter
- [24.01.2013] Ignorerte Java-råd
- [14.11.2012] Staten går for BankID
- [28.09.2012] – Dette er svært uheldig
- [26.09.2012] Ny kritisk Java-sårbarhet
- [05.09.2012] Java-svada
- [04.09.2012] – Java er sikkert nok
- [03.09.2012] Java-sandkassen knekket på nytt
- [31.08.2012] Oracle gir ut nødoppdatering til Java
- [30.08.2012] Fikk vite om Java-sårbarhet i april
- [29.08.2012] Teknisk Ukeblad annonse-hacket
- [28.08.2012] Nå bør du deaktivere Java
- [11.06.2012] Lapper alvorlige Java-hull
- [17.04.2012] Vil blokkere alt plugin-innhold i Firefox
- [20.02.2012] BankID vil ikke vrake Java
- [15.02.2012] 14 nye grunner til å avinstallere Java
- [22.12.2011] – Du bør slette Java
- [16.09.2011] Glem både Flash, Silverlight og Java