Java-nødfiks til å gråte av

Eksperter uenige om oppdateringen virker.

Java Runtime Environment (JRE), som svært mange har installert på pc-en, har ofte blitt sammenlignet med en sveitserost på grunn av alle sikkerhetshullene.
Java Runtime Environment (JRE), som svært mange har installert på pc-en, har ofte blitt sammenlignet med en sveitserost på grunn av alle sikkerhetshullene. Bilde: PantherMedia/Sergey Galayko og digi.no
14. jan. 2013 - 09:02

Oracle ga søndag ut en nødfiks som angivelig skal lukke to alvorlige sårbarheter (CVE-2013-0422) i Java. Det skjer kort tid etter oppslagene og advarslene om nye kritiske sikkerhetshull gikk verden over.

Utgiveren anbefaler alle å installere oppdateringen, som kan legges inn fra kontrollpanelet eller direkte fra Oracles nettsider.

Selskapet antydet så sent som lørdag at bare utviklerversjonen av Java (JDK) var berørt, men skriver nå at også Java Runtime Environment versjon 7 update 10 og tidligere rammes av sårbarhetene.

Hever nivået

Interessant nok velger Oracle for første gang å innføre «høyt sikkerhetsnivå» som standard i programvarens sikkerhetsinnstillinger. Det innebærer at brukeren alltid må spørres om tillatelse før en usignert Java-applet eller Java-basert webapplikasjon får lov til å kjøre.

Tårer

Dette ser ut til å få store konsekvenser. Som sikkerhetsekspert og hackerkjendis Charlie Miller skriver i en twittermelding:

- Utviklere verden over som utnytter Java-sårbarheter gråter, nå som verdien av sårbarhetene deres smuldrer fordi appleter har blitt «klikk for å kjøre».

- Mislykket nødfiks

Andre eksperter er imidlertid langt mer usikre på om sikkerhetsoppdateringen fra Oracle er tilstrekkelig.

Adam Gowdiak i polske Security Explorations, mannen som det siste året har avduket mengder av kritiske sårbarheter i Java, mener Oracle igjen har mislykkes.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

Nødfiksen som ble utgitt søndag mangler ifølge ham lappesaker mot flere andre kritiske Java-hull, ifølge Reuters.

- Vi tør ikke å fortelle brukere at det nå er trygt å aktivere Java igjen, påpeker sikkerhetseksperten.

Java har lenge vært en favoritt blank kyberkriminelle grunnet klientprogramvarens mange alvorlige sikkerhetshull. Halvparten av alle datainnbrudd i fjor utnyttet en Java-sårbarhet, ifølge sikkerhetsselskapet Kaspersky.

- Java må skrives om

Det er på høy tid at Oracle tar ansvar for de mange sikkerhetsproblemene og vraker deler av kildekoden og begynner på nytt. Selskapet har mistet kontrollen, mener virus- og trusselanalytiker Bogdan Botezatu i Bitdefender.

- Oracle må skrive noen av kjernekomponentene i Java på nytt. Bare slik kan de sørge for at de er uten sårbarheter, i stedet for å lappe applikasjonen fra en versjon til en annen, sier Botezatu i et intervju med Macworld.

Han erkjenner likevel at det neppe kommer til å skje. Eksperten tror Oracles problem er at store endringer i Java-plattformen kan ødelegge kompatibiliteten med eldre applikasjoner.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.