(Bilde: Hardware.no/istock 18037729)

Nye Java er ikke trygt likevel

Sikkerhetshull kan gi hackere full kontroll over PC-en din.

Det ser ikke ut som Java-dramaet noen gang vil ende. Nå har nok et sikkerhetshull blitt avslørt, kort tid etter at Oracle oppdaterte Java og hevdet programvaren var trygg å bruke igjen.

Det er det polske sikkerhetsselskapet Security Explorations som oppdaget den nye sårbarheten. Dette er det samme selskapet som varslet Oracle om Zero-day-sårbareheten forrige uke, og som allerede i april ga selskapet en lang liste over sikkerhetshull de burde fikse. Det skal bare ha tatt et par timer for dem å finne det nye sikkerhetshullet.

Ny versjon, nytt hull

Den nye sårbarheten påvirker den splitter nye versjonen av Java som Oracle slapp på fredag, altså Java 7 Update 7. Akkurat hvordan den nye sårbarheten fungerer vil ikke selskapet si noe om, annet enn at det lar hackere omgå hele sandkasse-systemet som Java benytter seg av. Dette gjør at de kan installere ondsinnet programvare og utsette systemet for skadelig kode, hvis de benytter seg av hullet.

– Sikkerhetshullet er relatert til noen av de tidligere feilene vi rapporterte til Oracle i april 2012, som de fortsatt ikke har fikset. Hullene går fortsatt an å bruke etter flere sikkerhetsoppdateringer, forteller Security Explorationssjefen Adam Gowdiak.

I motsetning til forrige ukes Java-sårbarhet som skapte furore verden over, har ingen hackere ennå benyttet seg av sikkerhetshullet Gowdiak og teamet hans har funnet. Han sier imidlertid at han inkluderte flere bevis på at sikkerhetshullet er reelt i rapporten de sendte til Oracle.

Ingen kommentar fra Oracle

Oracle har ikke ville kommentere om det er et nytt sikkerhetshull i den nyeste versjonen av Java, men bekrefter at de har fått rapporten fra Security Explorations, og at de vil analysere resultatene.

Selv om Oracle bekrefter at det er et sikkerhetshull, gjenstår det fortsatt å se når de vil tette det. Vanligvis oppdaterer de Java-programvaren annenhver måned, og forrige ukes oppdatering var en kriseoppdatering utenfor timeplanen. Neste planlagte oppdatering er ikke før i midten av oktober.

Om de slippe nok en ekstraoppdatering, kort tid etter den forrige, er usikkert.

Skru av Java... Igjen.

Nå som hackerne der ute vet at det finnes nok en sårbarhet de kan utnytte vil det nok ikke ta lang tid før de har funnet den, og Java-problemene vil begynne å dukke opp igjen. Dermed er det nok lurest å fortsette å ha Java skrudd av, og kun skru det på når du virkelig trenger det, og på sider du stoler på. Et godt eksempel er nettbanken din, hvor du må skru på Java for å benytte deg av BankID.

Slik skrur du av Java i nettleseren din

Java-historien startet forrige uke, da en såkalt Zero-Day-sårbarhet i Java ble avslørt. Sårbarheten gjorde det mulig for hackere å ta kontroll over datamaskinen til uheldige brukere ved hjelp av trojanere.

Oracle valgte å holde munn hele uken, selv om store selskaper som Mozilla gikk ut og ba brukerne sine skru av Java, og norske nettsider ble angrepet av hackere. Da de endelige tok til ordet hadde de fikset problemet i en sikkerhetsoppdatering, som de mente ville gjøre Java trygt igjen.

(Kilder: The Register, Ars Technica)

Kommentarer (0)

Norges beste mobilabonnement

Januar 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen