Det er fortsatt flere kjente sårbarheter i Java, og nye oppdages stadig vekk. Men sikkerhetsfunksjonalitet og nye standardinnstillinger i den nyeste utgaven kan bidra til å stoppe mange angrepsforsøk.

Oracle gransker nye Java-sårbarheter

Men tilleggssikkerhet i Windows-utgaven ser ut til å virke.

Kun dager etter at Oracle for en uke siden kom med den siste sikkerhetsoppdateringen til Java, ble det kjent at Security Explorations har funnet enda to sårbarheter i programvaren. Disse finnes også i den nyeste versjonen, Java 7 update 11.

Dette er nummer 51 og 52 i rekken av Java-sårbarheter som det polske sikkerhetsselskapet har varslet Oracle om siden april i fjor. I en statusoppdatering som kom før helgen, skriver Security Explorations at Oracle har bekreftet at selskapet vil granske de to sårbarhetene.

Fredag skrev Adam Gowdiak i det polske selskapet en Full Disclosure-melding hvor han forklarer at de to nyeste sårbarhetene sammen åpner for omgåelse av sikkerhetssandkassen i den nyeste versjonen av Java. I tillegg nevner han igjen at sikkerhetsfiksen Oracle kom med til en Java-sårbarhet i forrige uke, var ufullstendig.

Med Java 7 update 10 for Windows innførte Oracle ny sikkerhetsfunksjonalitet i Java, blant annet en mulighet til bedre å styre hvilke typer Java-applikasjoner som får kjøres i nettleseren. Med Java 7 update 11 ble standardinnstillingen for «Security Level» økt fra «Medium» til «High». I Windows finner man denne innstillingen i Kontrollpanelet, ved å klikke på ikonet for Java.

Standard sikkerhetsnivå i Java 7 ble økt fra Medium til High med den nyeste oppdateringen.
Standard sikkerhetsnivå i Java 7 ble økt fra Medium til High med den nyeste oppdateringen. Bilde: digi.no

Det innebærer at brukeren blir varslet hver gang en ikke-signert applikasjon skal settes i gang i nettleseren. Kjøringen stoppes og brukeren vises en dialogboks som den nedenfor. Brukeren kan da velge om Java-programmet skal få kjøre, eller om det skal nektes. På nettsteder som vet at bruker BankID eller lignende, kan man trygt la Java-applikasjonen kjøre. På andre nettsteder bør man i utgangspunktet la være.

En slik advarsel får brukerne av BankID når de bruker Java 7 update 11 og besøker for eksempel nettbanken.
En slik advarsel får brukerne av BankID når de bruker Java 7 update 11 og besøker for eksempel nettbanken.

Det vil nok kunne være brukere som aldri tenker seg om to ganger når de blir stilt overfor valg som dette, og som velger Ja/OK/Kjør for å slippe flere dialogbokser. På den annen side så vil denne funksjonen hindre at ondsinnede Java-applikasjoner kjøres i bakgrunnen, uten at brukeren får noe signal om hva som skjer.

Til The Next Web sier Gowdiak at denne funksjonen vil kunne blokkere mange angrep.

Dersom man må ha Java installert på maskinen, er det viktig at man har den aller nyeste versjonen, som per i dag er Java 7 update 11. Den kan lastes ned fra denne siden, eller via oppdateringsfunksjonen som finnes Java-kontrollpanelet. Dersom man laster ned selv, kan det være lurt å avinstallere den eller de Java-installasjoner som finnes på systemet fra før.

Mange har trolig fortsatt en versjon av Java 6 installert. Oracle kunngjorde allerede i september i fjor at Java 6 ikke vil bli oppdatert etter februar i år. Etter all sannsynlighet vil det snart oppdages sårbarheter som berører Java 6 og som aldri vil bli fjernet.

    Les også:

Til toppen