Java Runtime Environment (JRE) ble i flere år regnet som den mest risikable programvaren man kunne ha installert på pc-en, dersom man ser bort fra virkelig skadevare. Det krydde av sikkerhetshull, hvorav mange ble offentlig kjent og utnyttet før en sikkerhetsoppdatering forelå (nulldagssårbarheter).
Men det siste halvåret har det vært langt mellom oppslagene om Java og sikkerhet. Angrepene som har kommet har vært rettet mot kjente sårbarheter i eldre Java-utgaver, ikke ukjente sårbarheter i den nyeste utgaven. Ifølge nettstedet Java 0day countdown har det gått 180 dager siden forrige nulldagssårbarhet i Java ble funnet.
Oracle kommer senere i dag ut med den første Java-oppdateringen siden oktober. Dette er en planlagt oppdatering til Java SE 7 som fjerner 36 sårbarheter som ikke er offentlig kjente. 34 av disse sårbarhetene kan fjernutnyttes uten krav om autentisering, det vil si bruk av brukernavn og passord.
Oppdateringen som kom i oktober i fjor, heter Java Version 7 Update 45. På grunn av Oracles relativt ferske og kompliserte system for versjonsnummering av Java, er det litt uklart hvilket versjonsnummer den kommende oppdateringen vil ha. Trolig er det 51 eller 60.
Kontroll?
36 sårbarheter er fortsatt mye, men det viktige er at de nå blir fjernet fordi det er Oracle eller selskapets sikkerhetspartnere som har oppdaget dem, i stedet for at Oracle må komme halsende etter for å lukke sikkerhetshull som allerede utnyttes av ondsinnede. Det kan tyde på at Oracle har fått en viss kontroll på Java-sikkerheten.
Det reduserer selvfølgelig ikke viktigheten av å installere den nye oppdateringen så snart den er tilgjengelig (i skrivende stund er den ikke det). Man bør i nettleseren også sørge for at Java kun kan kjøres på de nettstedene hvor man faktisk ønsker dette. Dersom man ikke vet at man har behov for Java-installasjonen, bør man fjerne den fra pc-en, eller i alle fall deaktivere den helt i nettleseren. Det sistnevnte kan gjøres via nettleserinnstillingene for plugins. De er i de fleste nettlesere tilgjengelige ved at man skriver «about:plugins» i adressefeltet. I Internet Explorer fungerer ikke dette. I stedet kan man finne innstillingene for nettlesertillegg ved å klikke på tannhjulikonet i øvre, høyre hjørne i nettleseren.
Forøvrig planlegger Oracle i gi ut den første utgaven av Java SE 8 i mars.
Les også:
- [18.10.2013] Dansk Java-mareritt
- [17.06.2013] Diger sikkerhetsfiks til Java
- [06.06.2013] Nesten ingen oppdaterer Java
- [16.05.2013] Endrer versjonssystemet til Java