Oracle ga søndag ut en nødfiks som angivelig skal lukke to alvorlige sårbarheter (CVE-2013-0422) i Java. Det skjer kort tid etter oppslagene og advarslene om nye kritiske sikkerhetshull gikk verden over.
Utgiveren anbefaler alle å installere oppdateringen, som kan legges inn fra kontrollpanelet eller direkte fra Oracles nettsider.
Selskapet antydet så sent som lørdag at bare utviklerversjonen av Java (JDK) var berørt, men skriver nå at også Java Runtime Environment versjon 7 update 10 og tidligere rammes av sårbarhetene.
Hever nivået
Interessant nok velger Oracle for første gang å innføre «høyt sikkerhetsnivå» som standard i programvarens sikkerhetsinnstillinger. Det innebærer at brukeren alltid må spørres om tillatelse før en usignert Java-applet eller Java-basert webapplikasjon får lov til å kjøre.
Tårer
Dette ser ut til å få store konsekvenser. Som sikkerhetsekspert og hackerkjendis Charlie Miller skriver i en twittermelding:
- Utviklere verden over som utnytter Java-sårbarheter gråter, nå som verdien av sårbarhetene deres smuldrer fordi appleter har blitt «klikk for å kjøre».
- Mislykket nødfiks
Andre eksperter er imidlertid langt mer usikre på om sikkerhetsoppdateringen fra Oracle er tilstrekkelig.
Adam Gowdiak i polske Security Explorations, mannen som det siste året har avduket mengder av kritiske sårbarheter i Java, mener Oracle igjen har mislykkes.
Nødfiksen som ble utgitt søndag mangler ifølge ham lappesaker mot flere andre kritiske Java-hull, ifølge Reuters.
- Vi tør ikke å fortelle brukere at det nå er trygt å aktivere Java igjen, påpeker sikkerhetseksperten.
Java har lenge vært en favoritt blank kyberkriminelle grunnet klientprogramvarens mange alvorlige sikkerhetshull. Halvparten av alle datainnbrudd i fjor utnyttet en Java-sårbarhet, ifølge sikkerhetsselskapet Kaspersky.
- Java må skrives om
Det er på høy tid at Oracle tar ansvar for de mange sikkerhetsproblemene og vraker deler av kildekoden og begynner på nytt. Selskapet har mistet kontrollen, mener virus- og trusselanalytiker Bogdan Botezatu i Bitdefender.
- Oracle må skrive noen av kjernekomponentene i Java på nytt. Bare slik kan de sørge for at de er uten sårbarheter, i stedet for å lappe applikasjonen fra en versjon til en annen, sier Botezatu i et intervju med Macworld.
Han erkjenner likevel at det neppe kommer til å skje. Eksperten tror Oracles problem er at store endringer i Java-plattformen kan ødelegge kompatibiliteten med eldre applikasjoner.
Les også:
- [24.04.2013] Java truet av nytt, alvorlig hull
- [18.03.2013] Solid nedgang i Windows-sårbarheter
- [24.01.2013] Ignorerte Java-råd
- [21.01.2013] Oracle gransker nye Java-sårbarheter
- [17.01.2013] Nye Java-angrep i vente
- [17.01.2013] Ser etter alternativ til Java
- [12.01.2013] Oracle lover snarlig Java-fiks
- [11.01.2013] Kraftig advarsel mot Java
- [03.09.2012] Java-sandkassen knekket på nytt
- [30.08.2012] Fikk vite om Java-sårbarhet i april
