Eksperter om bølge af Java-huller: Oracle tog ikke sikkerheden alvorligt nok

15. marts 2013 kl. 13:467
Eksperter om bølge af Java-huller: Oracle tog ikke sikkerheden alvorligt nok
Illustration: Java.
Mindst en ud af tre pc-brugere havde sidste år en usikker Java-version, som hackere nemt kunne gennemtrænge. Og der er ikke forbedringer i sigte, siger sikkerhedseksperter, der kritiserer Oracle.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Engang var Java-diskussioner mest for udviklere og andre it-professionelle. I dag er det næsten blevet et samtaleemne over spisebordet hos den brede befolkning, som via medierne er blevet kraftigt opfordret til kun at bruge Java til NemID i en særskilt browser.

Java Runtime, som er nødvendig for at bruge NemID, har nemlig været ramt af en hel stribe alvorlige sikkerhedshuller, og installation af en ny version af Java - og Oracles forsøg på at presse Ask.com-søgefelter ind på brugerens computer - er blevet hverdag.

Desværre er der ikke tegn på, at situationen bliver bedre lige foreløbigt, lyder det fra en række sikkerhedseksperter, som amerikanske Infoworld.com har talt med.

Lige nu er det simpelthen for nemt for hackere at finde sikkerhedshuller i Java, og der er brug for en omfattende forstærkning af teknologien - hvilket ikke er så nemt, fordi Java som udgangspunkt har mange rettigheder på klienten.

Artiklen fortsætter efter annoncen

Oracle har dog kun sig selv at takke for problemerne, lyder det fra sikkerhedseksperterne, for det har ikke skortet på advarsler gennem årene. Oracle købte Sun i 2010, og overtog dermed Java, men det gik samtidigt ud over indsatsen for at holde Java sikker, lyder vurderingen.

Der bliver simpelthen sjusket med kodningen, for nogle af hullerne kunne være undgået, hvis de ansatte hos Oracle levede op til deres egne, interne sikkerhedskrav, siger Adam Gowdiak til Infoworld. Han er leder af det polske firma Security Explorations, der har opdaget og rapporteret 36 sikkerhedshuller i Oracles Java det seneste år alene.

Java-huller har for nyligt været brugt i malwaren Miniduke, som inficerede computere hos blandt andet Facebook, Twitter, Microsoft og Apple. Og det er nemt for hackere at misbruge selv kendte huller, viser en analyse fra antivirusfirmaet Kaspersky.

I løbet af 2012 var én ud af tre computere globalt til hver en tid sårbar over for fem kendte Java-angreb, som hackere nemt kunne bruge. På et tidspunkt var det over halvdelen af computermassen, som var åben for angreb.

Artiklen fortsætter efter annoncen

Oracle har reageret ved at sende flere haste-opdateringer ud - to styks siden nytår, for eksempel - og vil også skrue op for frekvensen af faste opdateringer: Fra hver fjerde måned til hver anden måned.

Men det tager tid at ændre en sikkerhedskultur, siger sikkerhedseksperterne og peger på Adobe og Microsoft som eksempler. Og Oracles håndtering af sikkerhedsproblemet har hidtil ikke været lovende, men faktisk direkte arrogant, lyder dommen.

Danmark er i en særlig situation, fordi NemID kræver Java, og borgerne derfor ikke kan følge det generelle råd at afinstallere Java. I stedet lyder rådet at have en browser på computeren, som kun bliver brugt til Java og NemID, og så afinstallere Java fra den browser, der bliver brugt normalt.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
17. marts 2013 kl. 17:08

Ah... der er ikke noget som generaler der ser tilbage på tidligere krige

4
17. marts 2013 kl. 12:08

Det er da forståeligt nok, at DanID vil gøre livet nemmere ved at anvende Java - så er man jo platformuafhængig og skal ikke kode så meget. Men set i lyset af de problemer udenfor DanID's kontrol, der er opstået, var det så ikke på tide at skrive sin applet i sit sædvanlige programmeringssprog, at kodet fra bunden? Dyrt, men der er vist penge nok i afgifter for brugen af login.

5
17. marts 2013 kl. 14:03

Det skal bare skrives i HTML og JavaScript, det har altid været platformuafhængigt, og er indenfor de seneste år blevet en ganske fornuftig platform til små applikationer.

Programmer skrevet i traditionelle programmeringssprog kan ikke uden videre køre i en browser, det ville give programmerne stort set uhindret adgang til at overtage systemet.

6
17. marts 2013 kl. 15:11

Vi ved jo alle sammen at statstrojaneren ikke virker uden Java, hvordan forhindrer vi så børneporno og piratkopiering?

Nå ja, vi har jo også det hersens geniale filter til den slags.. Så er Danmark reddet!

2
15. marts 2013 kl. 15:14

Med denne option aktiveret i Chrome kan jeg lade Java være installeret ganske normalt, og det er nemt nok at aktivere (eventuelt permanent) for de ganske få sites hvor jeg måtte se anvendelsen af en applet som rimelig. Men det er sjældent at jeg støder på "overraskelser" hvor jeg ikke har tillid til behovet.

Jeg synes at "Click to play" for Java skulle være en standard-mulighed, og aktiveret fra start, i alle browsere. Måske med en default whitelist for at være brugervenlig.

3
15. marts 2013 kl. 19:50

I Firefox 19 browsere er der i "Præferencer" ("Indstillinger" i Windows?) et faneblad der hedder "Programmer". Skriver man et "j" i søge-feltet øverst i det faneblad dukker "Java Archive" op - ud for den vælger man så "Spørg altid", og man vil altid blive spurgt om man vil køre en Java Applet.

God weekend.

1
15. marts 2013 kl. 14:29

Det kom nok bag på Oracle, at nogen stadig benyttede applets i stor stil :-) Jeg gætter på, at nogen af sikkerhedshullerne stammer helt tilbage fra Javas undfangelse. Dengang var applets jo tænkt som det store brækjern ind på Windows-platformen via browseren. Et "angreb" som Microsoft hurtigt fik afværget med sin egen Java-implementation.

I dag er Oracles fokus naturligt nok rettet mod enterprise Java, app server og udviklingsmiljø i den forbindelse.