Oracle kommer senere i dag med en planlagt sikkerhetsoppdatering til selskapets Java-klient. Dette oppgir selskapet i et forhåndsvarsel. Etter en travel vinter med flere nødoppdateringer, har det siden begynnelsen av mars vært temmelig stille rundt sikkerheten til Java. Men at det fortsatt finnes kjente sårbarheter i programvare, ble ikke minst klart under Pwn2Own-konkurransen der Java-plattformen ble knekket flere ganger.
Trolig inkluderer sikkerhetsoppdateringen til Java sikkerhetsfikser som fjerner nettopp Pwn2Own-sårbarhetene. Men også en rekke andre sårbarheter skal nå tas hånd om. Ifølge Oracle er det i alt 42 sårbarheter som fjernes med oppdateringen. 39 av disse skal potensielt kunne utnyttes via nettverk uten behov for autentisering.
Den oppdaterte Java-versjonen skal kunne lastes ned fra denne siden senere i dag. Den nye oppdateringen heter Java SE 7 Update 21. Den nåværende heter Java SE 7 Update 17.
Obligatorisk signering?
Med den nye versjonen innfører Oracle også endringer i tilknytning til sikkerhetsinnstillingene.
På denne siden skriver Oracle at det er innført et nytt krav om at alle Java-applets og Web Start-applikasjoner som benytter Java-pluginen for å kjøres i nettleseren, må være signert med et tiltrodd sertifikat.
– Java støtter kodesignering, men inntil Java SE 7u21 har dette vært en valgfri funksjon, skriver Oracle.
Nå ser ikke dette ut til å være så dramatisk som det umiddelbart høres ut som, altså at ikke-signerte Java-applikasjoner ikke lenger vil kunne kjøres i nettleseren.
På den samme siden opplyses det at endringen innebærer at plattformen nekter å kjøre Java-applikasjoner, men brukerne vil i større grad enn tidligere bli spurt om de vil at den enkelte applikasjon skal kjøres. Men det fortelles også at framtidige oppdateringer kan komme til å inkludere ytterligere endringer for å begrense usikker atferd, inkludert ikke-signert og selvsignerte applikasjoner.
Oppdateringer inkluderer også endringer i sikkerhetsdialogen med brukerne. Det vil vises ulike dialogbokser med varierende grad av oppsiktsvekkende grafikk ved ulike sikkerhetsrisikoer. En oversikt over dialogene finnes her.
Les også:
- [24.04.2013] Java truet av nytt, alvorlig hull
