Oracle kom i vinter med flere hasteoppdateringer av Java-plattformene for å luke vekk svært alvorlige sårbarheter. Flere av sårbarhetene ble allerede den gang utnyttet i aktive angrep. Nå tyder en undersøkelse gjort av Websense Security Labs på at de færreste egentlig bryr seg om eller er klar over risikoen ved å kjøre eldre Java-utgaver på pc-en.
Ved hjelp av selskapets ThreatSeeker Network kan Websense registrere hvilken versjon av Java som benyttes på mange millioner «endepunkter». Dersom tallene stemmer, er de skremmende og bør definitivt være en tankevekker for både brukerne og Oracle, som leverer programvaren. Problemet er, som vi vil se, at svært mange benytter helt utdaterte utgaver av Java-plattformen.
Den nyeste sikkerhetsoppdateringen av Java kom den 16. april, altså for drøyt syv uker siden. Den heter Java SE 7 Update 21 og fjerner flere alvorlige sårbarheter. Flere av sårbarhetene kan allerede være utnyttet i aktive angrep, selv om i alle fall digi.no så langt ikke har sett meldinger om dette. Men det er kjent at det finnes sårbarheter i programvaren som ennå ikke har blitt fjernet.
Forsvinnende få
Ifølge Websense var det en liten gruppe brukere, 1,7 prosent, som hadde installert oppdateringen innen de to første dagene etter utgivelsen. Etter en uke var andelen steget til nærmere tre prosent. Deretter tok det nok en hel uke før andelen var steget til 4,1 prosent. Etter en måned etter utgivelsen, altså den 16. mai, var andelen drøyt sju prosent. Dersom andelen øker med omtrent ett prosentpoeng i uken, vil omtrent tolv prosent av alle som har Java installert på pc-en, ha installert april-oppdateringen før neste planlagte sikkerhetsoppdatering er klar den 18. juni.
Det er ingen ny trend at pc-brukere ikke oppdaterer Java, og selv om oppdateringsprogrammet for Java kan bli langt bedre, så var det enda verre tidligere. Svært mange sikker derfor med en Java-versjon som virkelig begynner å trekke på årene. I mars kom Websense med en rapport om nettopp dette.
Mer enn 75 benyttet da en versjon av Java-plattformen som var minst seks måneder gammel. Neste to av tre benyttet en versjon som var over et år gammel, og mer enn halvparten hadde ikke installert noen Java-oppdatering på mer enn to år.
Java 6
Den mest benyttede enkeltversjonen var Java 6 Update 16 (1.6_16), som ble gitt ut i 2009. Mer enn ni prosent benyttet denne i mars. Andelen som benyttet noe annet enn Java 7 var på 78 prosent. Siden begynnelsen av mars har Oracle sluttet å gi ut offentlig tilgjengelige sikkerhetsoppdateringer til annet enn nettopp Java 7.
Det betyr at brukerne manuelt må avinstallere Java 6 og selv installere Java 7 på pc-en, dersom de har behov for Java.
Blant digi.no-leserne som besøker oss ved hjelp av en pc, har mer enn 80 prosent Java aktivert i nettleseren, men vi har ikke oversikt over hvilke versjoner som benyttes.
Man kan sjekke hvilken versjon av Java man har installert på denne siden. Har du noe annet Version 7 Update 21 installert og ikke har gode grunner til nettopp dette, bør du virkelig gjøre noe med det. Den nyeste versjonen av Java er tilgjengelig her.
Les også:
- [14.01.2014] Nye lappesaker til Java
- [05.11.2013] Én av tre har sårbar Windows-pc
- [03.06.2013] Slik skal Java bli sikrere
- [24.04.2013] Java truet av nytt, alvorlig hull
- [05.03.2013] Last ned nødfiks til Java
