Lappesaker til kjente kritiske hull i Java kom for flere uker siden. Men fortsatt sitter svært mange med sårbare versjoner, ifølge tall fra Mnemonic.

3 av 4 har ikke oppdatert Java

Nasjonale sikkerhetsmyndigheter er overrasket.

Java har lenge tronet øverst på en lite hyggelig liste: Den over sårbar programvare som oftest utnyttes av ondsinnede til å kapre datamaskiner.

Men mange uker etter avsløringene om nye kritiske Java-hull, som for lengst er implementert i kjente angrepsverktøy – og gjenstand for aktive hackerangrep også her til lands – har fortsatt svært mange ikke sikret seg.

78 prosent er sårbare

Ifølge tall fra IT-sikkerhetsselskapet Mnemonic, som oppgir å være størst i Norden innen sitt fagfelt, har bare 22 prosent installert den nyeste sikkerhetsoppdateringen for Java.

- Vi fant at 78 prosent av alle Java-applikasjoner i løpet av en uke, ble kjørt med en sårbar Java-versjon, opplyser markedssjef Mike Wawro i Mnemonic til digi.no.

Det er all grunn til å være bekymret for sårbare versjoner av Java. - Jeg tror disse tallene kan overføres til den generelle befolkningen, sa seksjonssjef Marie Moe ved NorCERTs operasjonssenter til Dagbladet onsdag.

Overrasket: Marie Moe ved Nasjonalt senter for håndtering av alvorlige dataangrep (NorCERT).
Overrasket: Marie Moe ved Nasjonalt senter for håndtering av alvorlige dataangrep (NorCERT). Bilde: NorCERT

Analysen til Mnemonic bygger på overvåkning direkte i kundenes nettverk, gjennom et såkalt Intrusion Detection and Protection System (IDS/IPS) som de håndterer på vegne av kundene.

Selskapet har sett på unike klienter hos bedriftskundene. Størrelsen på utvalget var rundt 53.000 unike IP-adresser, som ifølge Wawro er et lite uttrekk av det totale antallet klienter i nettverkene de forvalter globalt.

- Ikke gjort i en fei

Marie Moe hos NorCERT er overrasket over at såvidt få har oppgradert til nyeste versjon Java.

- Ja, jeg synes det var litt overraskende at det tar så lang tid å oppgradere systemene. Men hos bedrifter tar det ofte litt lengre tid å rulle ut sikkerhetsoppdateringer. Det er ikke gjort i en fei, slik det er blant hjemmebrukere, sier seksjonssjefen til digi.no.

Hun tror ikke det skyldes dårlig vilje, men peker på at det å oppgradere programvaren kan være en stor prosess i virksomheter med veldig mange klienter. Særlig for virksomhetskritiske applikasjoner vil Java-oppdateringer kanskje måtte testes i et labmiljø før den tas i bruk.

Det tok en stund før Oracle kom på banen - Treg patche-syklus
- I hvilken grad synes dere i NorCERT at leverandøren, Oracle, har gjort nok for å sikre kunder mot sårbarhetene i Java?

- Oracle gir ikke ut sikkerhetsoppdateringer særlig ofte, den neste planlagte oppdateringen var ikke før i oktober. Så det var bra at de ga ut en fiks nå utenfor ordinær patche-syklus, men det var likevel en uke hvor brukerne ble utsatt for risiko ved å bruke Java.

Det som er viktig når det kommer en zero-day (nulldagssårbarhet) er at leverandøren gir rask og tydelig informasjon til brukerne. Det tok en stund før Oracle kom på banen med informasjon i dette tilfellet, sier Moe.

Hun medgir også at det kan være tungvint å oppgradere Java.

- Det er ikke så lett for enhver bruker å gjøre dette selv. Det krever aktive valg og skjer ikke bare automatisk som med en del annen programvare.

- Det må være opp til brukeren å vurdere om det er kritisk å ha Java installert eller ikke, sier Moe.

For de som er avhengig av Java har Moe flere råd. De kan benytte seg av en nettleser med Java-støtten aktivert, som bare benyttes i de tilfeller der man har behov for Java, og en annen nettleser for alt annet.

Det andre som kan vært lurt er å benytte seg av nettlesertillegg som blokkerer skript fra å kjøre automatisk i nettleseren.

Oracle i Norge har ikke ønsket å kommentere denne saken.

    Les også:

Til toppen