Ikke før ett hull er lappet, dukker det opp nye sårbarheter i Java.

Java truet av nytt, alvorlig hull

Rammer både klient og server.

Så sent som i forrige uke fjernet Oracle en mengde sårbarheter i Java, og oppfordret som vanlig brukerne til å straks oppdatere programvaren.

Få dager senere er det igjen oppdaget et nytt kritisk hull, som berører den ferskeste utgaven, men også alle andre versjoner av Java SE 7.

Igjen er det Adam Gowdiak, sikkerhetsekspert i Security Explorations, som står bak funnet. Polakken har tidligere avslørt en urovekkende mengde sårbarheter i Java.

I en melding til epostlisten Full Disclosure forklarer han at sårbarheten befinner seg i Javas Reflection API, der det også ganske nylig er avdekket hull.

Utnyttelse av sårbarheten skal gjøre det mulig å fullstendig omgå sikkerhets-sandkassen i Java, og gi en angriper anledning til å ta kontroll over offerets datamaskin.

Dette gjelder ikke bare Java-utvidelsen i nettleseren. Sårbarheten berører også utviklerpakken (JDK) samt kjøremiljøet for servere (Server JRE), ifølge Gowdiak.

Sikkerhetseksperten har i over ett år jevnlig kontaktet Oracle og gitt dem inngående detaljer om et utall sårbarheter. Han uttrykker overraskelse over at det stadig er mulig for å dem å avdekke nye hull.

BankID dropper Java

Som digi.no kunne avsløre tirsdag vil BankID denne uken presentere en ny løsning uten Java. BankID for innlogging i nettbanken fremstår som kanskje den siste virkelig utbredte nettjenesten som nordmenn flest bruker, som til nå har krevd at brukerne installerer Oracles kontroversielle programvare.

Det er foreløpig uklart når de fleste nettbankkundene i Norge kan avinstallere Java for godt, men gårdagens nyhet ble svært godt mottatt. Saken vår ble blant annet delt over 1100 ganger på Facebook i går. digi.no-redaksjonen har sågår mottatt takkebrev fra lesere for vår dekning.

    Les også:

Til toppen