Oracle lapper flere alvorlige sikkerhetshull i Java denne uken.

Fjerner alvorlige sårbarheter fra Java

Viktig sikkerhetsoppdatering fra Oracle.

Oracle har denne uken kommet med sikkerhetsoppdateringer til en rekke av selskapets produkter. I alt fjernes 169 sårbarheter.

Den produktoppdateringen som berører flest, er likevel den til Java SE, som mange fortsatt har installert, kanskje mest på grunn av tidligere krav fra BankID. Dersom nettbanken man benytter har gått over til den Java-frie BankID 2.0-løsningen, kan og bør Java-installasjonen i mange tilfeller avinstalleres. Dette gjelder selvfølgelig dersom man ikke også bruker Java-installasjonen i helt andre sammenhenger.

19 sårbarheter

I Java 8 Update 31, som kom denne uken, inkluderer 19 sikkerhetsfikser. 14 av disse fjerner sårbarheter som ifølge Oracle kan utnyttes via for eksempel internett uten autentisering, altså brukernavn og passord. Fire av sårbarhetene har fått full poengsum i Oracles alvorlighetsskala.

Noen av sårbarhetene har blitt innført med nyere versjoner av Java SE, mens andre finnes i utgaver helt tilbake til Java SE 5.0u75.

Det er i utgangspunktet kun Java 7 og 8 som fortsatt oppdateres. Alle tidligere versjoner er og vil forbli risikable å bruke, med mindre man har en spesiell avtale med Oracle om sikkerhetsoppdateringer også til disse.

Etter april 2015 kommer Oracle ikke lenger til å utgi oppdateringer til Java 7 på selskapets offentlige nedlastingsnettsteder.

Bruk Java 8

Dersom man fortsatt har behov for Java, bør man bruke den nyeste versjonen, altså Java 8 Update 31. Den kan i de fleste tilfeller lastes ned via denne siden. Java 7 eller eldre bør avinstalleres før man installerer Java 8.

Ifølge Ciscos nye sikkerhetsrapport, som vi omtaler i denne saken, har det det siste året vært en nedgang på 34 prosent i utnyttelsen av Java-sårbarheter. Ciscos sikkerhetsavdeling mener at dette skyldes bedre sikkerhet i Java, og at mange av angriperne har gått over til å bruke andre angrepsvektorer. Mengden av sårbarheter som oppdages i Java-installasjonene har blitt betydelig redusert de siste årene, og stort sett blir de fjernet før de oppdages av potensielle angripere.

    Les også:

Til toppen