Oracle har i en felles uttalelse til presse bekreftet sårbarheten i Java som nå brukes i omfattende angrep via nettsteder.
– Oracle er klar over en feil i Java-programvare integrert med nettlesere. Feilen er begrenset til JDK7. Den eksisterer ikke i andre utgivelser av Java, og påvirker ikke Java-applikasjoner som er direkte installert og kjører på servere, pc-er og andre enheter. En fiks vil bli gjort tilgjengelige om kort tid, heter det i uttalelsen.
Bare JDK?
Skal man tolke dette bokstavelig, så finnes sårbarheten bare i utviklerversjon av Java (JDK - Java Development Kit) og ikke i Java Runtime Environment (JRE), som er den versjonen vanlige brukerer normalt har installert.
I så fall er ikke faren for å bli berørt av angrepene særlig stor for de fleste, men denne informasjonen stemmer ikke overens med det andre sikkerhetseksperter oppgir. I én av de eldre rapportene om sårbarheten er det kun JRE som nevnes.
Amerikanske US-CERT opplyser at sårbarheten finnes i alle versjoner av Java 7. I NISTs National Vulnerability Database (NVD) oppgis det at alle versjoner av Java 4, 5, 6 og 7 er berørt av sårbarheten.
Uavhengig av hva som stemmer, anbefales befales pc-brukere å deaktivere Java-støtten i nettleserne. For de fleste vil det beste være å sikre at Java 7 update 10 er installert, for deretter å skru av nettleserstøtten i sikkerhetsinnstillingene. Hvor man finner disse innstillingene, avhenger av operativsystemet. I Windows finnes det et eget Java-ikon i kontrollpanelet. Bildet nedenfor viser hvor man kan skru av nettleserstøtten.
Alternativt kan man skru av Java-støtten direkte i nettlesere. En oversikt over hvordan dette gjøres i forskjellige nettlesere, finnes her.
I Norge benyttes nettleser-pluginen til Java primært i forbindelse med BankID og innlogging i nettbanker og en del andre sider som i utgangspunktet setter høye krav til sikkerheten. Men mange nettbanker har også alternative innloggingsmetoder som ikke kreve Java.
Blant annet oppfordrer Skandiabanken i en I en Facebook-melding kundene om å skru av Java inntil en sikkerhetsoppdatering er tilgjengelig.
– Benytt vanlig innlogging med kodekort/SMS eller BankID på mobil, heter det i meldingen.
Alternativet en del foreslår, er å ha Java-pluginen aktivert bare i en nettleser som kun brukes til nettbank, men alt annet gjøres i en nettleser hvor Java er deaktivert.
BankID antyder skifte
– Det er utfordrende å være avhengig av Java når det oppstår sikkerhetshull tilsvarende det som ble oppdaget torsdag denne uken, heter det i en melding på BankIDs nettsted.
– BankID Norge ser på ulike alternativer når vi utvikler produktet videre. Java har fungert godt lenge, men vi ser at det er mange utfordringer, både når det gjelder sikkerhet og fordi Java ikke støtter nettbrett og smarttelefoner. Java er ikke hellig for oss. Samtidig kan vi heller ikke bytte løsning over natten - en ny løsning må være bedre og sikrere, heter det i meldingen.
Apple
Enkelte ser ut til å ha gått lenger enn bare å oppfordre kundene sine til å unngå Java-pluginen.
Ifølge MacRumours har Apple rett og slett blokkert bruken av alle eksisterende utgave av Java 7 i OS X, inntil en ny versjon foreligger.
Mer kritikk
Adam Gowdiak i polske Security Explorations, som i fjor varslet Oracle om en mengde sårbarheter i Java, for så å varsle at Oracle brukte veldig lang tid på å fjerne sårbarhetene, skriver her at angrepene som nå pågår faktisk utnytter to ulike sårbarheter, hvorav den ene skal være en som Oracle har forsøkt å fjerne gjennom en oppdatering som kom i oktober i fjor, noe selskapet etter alt å dømme har mislykkes med.
– Dette er [...] ikke første gang Oracles egen etterforskning/analyse av sikkerhetproblemer har vist seg ikke å være tilstrekkelig omfattende, skriver Gowdiak.
– Feil er som sopp, i mange tilfeller kan de bli funnet i nærheten av de som allerede har blitt funnet. Det ser ut som om Oracle har stoppet å plukke for tidlig, eller at de fortsatt befinner seg dypt inne i skogen ..., avslutter Gowdiak.
Les også:
- [01.02.2013] Apple blokkerer Java på nytt
- [17.01.2013] Nye Java-angrep i vente
- [14.01.2013] Java-nødfiks til å gråte av
- [11.01.2013] Kraftig advarsel mot Java
- [03.09.2012] Java-sandkassen knekket på nytt
- [30.08.2012] Fikk vite om Java-sårbarhet i april