Kun dager etter at Oracle for en uke siden kom med den siste sikkerhetsoppdateringen til Java, ble det kjent at Security Explorations har funnet enda to sårbarheter i programvaren. Disse finnes også i den nyeste versjonen, Java 7 update 11.
Dette er nummer 51 og 52 i rekken av Java-sårbarheter som det polske sikkerhetsselskapet har varslet Oracle om siden april i fjor. I en statusoppdatering som kom før helgen, skriver Security Explorations at Oracle har bekreftet at selskapet vil granske de to sårbarhetene.
Fredag skrev Adam Gowdiak i det polske selskapet en Full Disclosure-melding hvor han forklarer at de to nyeste sårbarhetene sammen åpner for omgåelse av sikkerhetssandkassen i den nyeste versjonen av Java. I tillegg nevner han igjen at sikkerhetsfiksen Oracle kom med til en Java-sårbarhet i forrige uke, var ufullstendig.
Med Java 7 update 10 for Windows innførte Oracle ny sikkerhetsfunksjonalitet i Java, blant annet en mulighet til bedre å styre hvilke typer Java-applikasjoner som får kjøres i nettleseren. Med Java 7 update 11 ble standardinnstillingen for «Security Level» økt fra «Medium» til «High». I Windows finner man denne innstillingen i Kontrollpanelet, ved å klikke på ikonet for Java.
Det innebærer at brukeren blir varslet hver gang en ikke-signert applikasjon skal settes i gang i nettleseren. Kjøringen stoppes og brukeren vises en dialogboks som den nedenfor. Brukeren kan da velge om Java-programmet skal få kjøre, eller om det skal nektes. På nettsteder som vet at bruker BankID eller lignende, kan man trygt la Java-applikasjonen kjøre. På andre nettsteder bør man i utgangspunktet la være.
Det vil nok kunne være brukere som aldri tenker seg om to ganger når de blir stilt overfor valg som dette, og som velger Ja/OK/Kjør for å slippe flere dialogbokser. På den annen side så vil denne funksjonen hindre at ondsinnede Java-applikasjoner kjøres i bakgrunnen, uten at brukeren får noe signal om hva som skjer.
Til The Next Web sier Gowdiak at denne funksjonen vil kunne blokkere mange angrep.
Dersom man må ha Java installert på maskinen, er det viktig at man har den aller nyeste versjonen, som per i dag er Java 7 update 11. Den kan lastes ned fra denne siden, eller via oppdateringsfunksjonen som finnes Java-kontrollpanelet. Dersom man laster ned selv, kan det være lurt å avinstallere den eller de Java-installasjoner som finnes på systemet fra før.
Mange har trolig fortsatt en versjon av Java 6 installert. Oracle kunngjorde allerede i september i fjor at Java 6 ikke vil bli oppdatert etter februar i år. Etter all sannsynlighet vil det snart oppdages sårbarheter som berører Java 6 og som aldri vil bli fjernet.
Les også:
- [24.04.2013] Java truet av nytt, alvorlig hull
- [31.01.2013] Tror sårbar Java er trygg
- [29.01.2013] – Sikkerhetstiltak i Java virker ikke
- [17.01.2013] Nye Java-angrep i vente
- [17.01.2013] Ser etter alternativ til Java
- [14.01.2013] Java-nødfiks til å gråte av