Oracle kom søndag med en sikkerhetsoppdatering til Java 7 som angivelig skulle fjerne den sårbarheten (CVE-2013-0422) som i størst grad har åpnet for de siste angrepene. I ettertid kan man konkludere med at Oracle har lykkes med å stoppe akkurat disse angrepene, men ifølge Trend Micro har selskapet bare løst ett av to problemer som CVE-en beskriver. Det andre problemet, som dreier seg om findclass -metoden i klassen com.sun.jmx.mbeanserver.MBeanInstantiator.
– Findclass-metoden kan fortsatt bli brukt til å få en referanse til begrensede klasser. For å si det enkelt, sørger problemet i findclass-metoden for at det fortsatt finnes et hull som kan brukes sammen med en annen, ny sårbarhet, skriver Pawan Kinger i Trend Micro.
Også i forbindelse med de forrige angrepene ble Oracle anklaget for ikke å gjøre lappejobben grundig nok.
– Gitt dette problemet, må brukerne vurdere om de virkelig behøver Java. Dersom de ikke trenger det, bør avinstallere det, fortsetter Kinger.
Brukere som er nødt til å ha Java på maskinen, men ikke i nettleseren, anbefales å deaktivere nettleserstøtten i den – noe som enkelt kan gjøres en gang for alle fra og med Java 7 update 10. BankID-brukere og andre som har behov for å kjøre Java i nettleseren, anbefales å gjøre dette i en nettleser som ikke brukes til noe annet. I nettleseren man vanligvis bruker, bør Java deaktiveres, skriver Kinger. Dette gjelder også brukere som har installert den nyeste oppdateringen, Java 7 update 11.
En oversikt over hvordan alt dette kan gjøres, finnes her.
Selges allerede
Men dersom noen tror at det vil være stille før stormen en stund nå, så er det etter alt å dømme feil. Ifølge KrebsOnSecurity kom det allerede mandag denne uken meldinger om at at ny angrepskode er til salgs for 5000 dollar per kunde.
I motsetning til angrepskoden som ble benyttet i forrige ukes angrep, skal ikke denne være inkludert i noen av de vanlige pakkeløsningene. Inntil det skjer, vil eventuelle angrep trolig være begrensede. Men etter det Brian Krebs kan tolke av meldingene, skal den nye angrepskode være solgt til minst to kunder allerede.
I blogginnlegget kommer Krebs med kraftig kritikk av Oracle.
– Til tross for Oracles enestående, firedagers reaksjonstid for tetting av den siste nulldagssårbarheten, signaliserer selskapet utad ikke noe tegn på at det er oppmerksomme på at selskapets programvare er så utbredt på forbrukersystemer. Oracle ser ut til å sende en melding om at det ikke ønsker flere hundre millioner konsumentbrukere. Disse brukerne bør lytte til dette og handle deretter, skriver Krebs.
Tidligere denne uken sa HD Moore, sikkerhetssjef i IT-sikkerhetsselskapet Rapid7, til Reuters at det vil ta Oracle to år å fikse alle de sikkerhetsfeilene som allerede har blitt identifisert i programvaren, men som ikke har blitt offentliggjort.
– Det tryggeste å gjøre nå, er å gå ut fra at Java alltid vil være sårbarhet, sa Moore.
Les også:
- [31.01.2013] Tror sårbar Java er trygg
- [29.01.2013] – Sikkerhetstiltak i Java virker ikke
- [24.01.2013] Ignorerte Java-råd
- [21.01.2013] Oracle gransker nye Java-sårbarheter
- [17.01.2013] Ser etter alternativ til Java
- [14.01.2013] Java-nødfiks til å gråte av
- [12.01.2013] Oracle lover snarlig Java-fiks
