Det vil være fornuftig å laste ned og installere Java-oppdateringen så snart den er tilgjengelig. Det er bare et tidsspørsmål før i alle fall noen av sårbarhetene som nå fjernes, vil bli utnyttet av ondsinnede. (Bilde: Oracle)

Fjerner en mengde Java-sårbarheter

Oracle ruller ut ny sikkerhetsoppdatering.

Oracle kommer senere i dag med en planlagt sikkerhetsoppdatering til selskapets Java-klient. Dette oppgir selskapet i et forhåndsvarsel. Etter en travel vinter med flere nødoppdateringer, har det siden begynnelsen av mars vært temmelig stille rundt sikkerheten til Java. Men at det fortsatt finnes kjente sårbarheter i programvare, ble ikke minst klart under Pwn2Own-konkurransen der Java-plattformen ble knekket flere ganger.

Trolig inkluderer sikkerhetsoppdateringen til Java sikkerhetsfikser som fjerner nettopp Pwn2Own-sårbarhetene. Men også en rekke andre sårbarheter skal nå tas hånd om. Ifølge Oracle er det i alt 42 sårbarheter som fjernes med oppdateringen. 39 av disse skal potensielt kunne utnyttes via nettverk uten behov for autentisering.

Den oppdaterte Java-versjonen skal kunne lastes ned fra denne siden senere i dag. Den nye oppdateringen heter Java SE 7 Update 21. Den nåværende heter Java SE 7 Update 17.

Obligatorisk signering?

Med den nye versjonen innfører Oracle også endringer i tilknytning til sikkerhetsinnstillingene.

På denne siden skriver Oracle at det er innført et nytt krav om at alle Java-applets og Web Start-applikasjoner som benytter Java-pluginen for å kjøres i nettleseren, må være signert med et tiltrodd sertifikat.

– Java støtter kodesignering, men inntil Java SE 7u21 har dette vært en valgfri funksjon, skriver Oracle.

Nå ser ikke dette ut til å være så dramatisk som det umiddelbart høres ut som, altså at ikke-signerte Java-applikasjoner ikke lenger vil kunne kjøres i nettleseren.

På den samme siden opplyses det at endringen innebærer at plattformen nekter å kjøre Java-applikasjoner, men brukerne vil i større grad enn tidligere bli spurt om de vil at den enkelte applikasjon skal kjøres. Men det fortelles også at framtidige oppdateringer kan komme til å inkludere ytterligere endringer for å begrense usikker atferd, inkludert ikke-signert og selvsignerte applikasjoner.

Oppdateringer inkluderer også endringer i sikkerhetsdialogen med brukerne. Det vil vises ulike dialogbokser med varierende grad av oppsiktsvekkende grafikk ved ulike sikkerhetsrisikoer. En oversikt over dialogene finnes her.

    Les også:

Til toppen