Eksperter om bølge af Java-huller: Oracle tog ikke sikkerheden alvorligt nok

Mindst en ud af tre pc-brugere havde sidste år en usikker Java-version, som hackere nemt kunne gennemtrænge. Og der er ikke forbedringer i sigte, siger sikkerhedseksperter, der kritiserer Oracle.

Engang var Java-diskussioner mest for udviklere og andre it-professionelle. I dag er det næsten blevet et samtaleemne over spisebordet hos den brede befolkning, som via medierne er blevet kraftigt opfordret til kun at bruge Java til NemID i en særskilt browser.

Læs også: Sådan sikrer du dig mod kritisk Java-hul

Java Runtime, som er nødvendig for at bruge NemID, har nemlig været ramt af en hel stribe alvorlige sikkerhedshuller, og installation af en ny version af Java - og Oracles forsøg på at presse Ask.com-søgefelter ind på brugerens computer - er blevet hverdag.

Desværre er der ikke tegn på, at situationen bliver bedre lige foreløbigt, lyder det fra en række sikkerhedseksperter, som amerikanske Infoworld.com har talt med.

Lige nu er det simpelthen for nemt for hackere at finde sikkerhedshuller i Java, og der er brug for en omfattende forstærkning af teknologien - hvilket ikke er så nemt, fordi Java som udgangspunkt har mange rettigheder på klienten.

Oracle har dog kun sig selv at takke for problemerne, lyder det fra sikkerhedseksperterne, for det har ikke skortet på advarsler gennem årene. Oracle købte Sun i 2010, og overtog dermed Java, men det gik samtidigt ud over indsatsen for at holde Java sikker, lyder vurderingen.

Der bliver simpelthen sjusket med kodningen, for nogle af hullerne kunne være undgået, hvis de ansatte hos Oracle levede op til deres egne, interne sikkerhedskrav, siger Adam Gowdiak til Infoworld. Han er leder af det polske firma Security Explorations, der har opdaget og rapporteret 36 sikkerhedshuller i Oracles Java det seneste år alene.

Java-huller har for nyligt været brugt i malwaren Miniduke, som inficerede computere hos blandt andet Facebook, Twitter, Microsoft og Apple. Og det er nemt for hackere at misbruge selv kendte huller, viser en analyse fra antivirusfirmaet Kaspersky.

I løbet af 2012 var én ud af tre computere globalt til hver en tid sårbar over for fem kendte Java-angreb, som hackere nemt kunne bruge. På et tidspunkt var det over halvdelen af computermassen, som var åben for angreb.

Oracle har reageret ved at sende flere haste-opdateringer ud - to styks siden nytår, for eksempel - og vil også skrue op for frekvensen af faste opdateringer: Fra hver fjerde måned til hver anden måned.

Men det tager tid at ændre en sikkerhedskultur, siger sikkerhedseksperterne og peger på Adobe og Microsoft som eksempler. Og Oracles håndtering af sikkerhedsproblemet har hidtil ikke været lovende, men faktisk direkte arrogant, lyder dommen.

Danmark er i en særlig situation, fordi NemID kræver Java, og borgerne derfor ikke kan følge det generelle råd at afinstallere Java. I stedet lyder rådet at have en browser på computeren, som kun bliver brugt til Java og NemID, og så afinstallere Java fra den browser, der bliver brugt normalt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Martin Kofoed

Det kom nok bag på Oracle, at nogen stadig benyttede applets i stor stil :-) Jeg gætter på, at nogen af sikkerhedshullerne stammer helt tilbage fra Javas undfangelse. Dengang var applets jo tænkt som det store brækjern ind på Windows-platformen via browseren. Et "angreb" som Microsoft hurtigt fik afværget med sin egen Java-implementation.

I dag er Oracles fokus naturligt nok rettet mod enterprise Java, app server og udviklingsmiljø i den forbindelse.

  • 1
  • 0
#2 Johnnie Hougaard Nielsen

Med denne option aktiveret i Chrome kan jeg lade Java være installeret ganske normalt, og det er nemt nok at aktivere (eventuelt permanent) for de ganske få sites hvor jeg måtte se anvendelsen af en applet som rimelig. Men det er sjældent at jeg støder på "overraskelser" hvor jeg ikke har tillid til behovet.

Jeg synes at "Click to play" for Java skulle være en standard-mulighed, og aktiveret fra start, i alle browsere. Måske med en default whitelist for at være brugervenlig.

  • 6
  • 0
#3 Lars Tørnes Hansen

I Firefox 19 browsere er der i "Præferencer" ("Indstillinger" i Windows?) et faneblad der hedder "Programmer". Skriver man et "j" i søge-feltet øverst i det faneblad dukker "Java Archive" op - ud for den vælger man så "Spørg altid", og man vil altid blive spurgt om man vil køre en Java Applet.

God weekend.

  • 1
  • 0
#4 Jørgen Rasmussen

Det er da forståeligt nok, at DanID vil gøre livet nemmere ved at anvende Java - så er man jo platformuafhængig og skal ikke kode så meget. Men set i lyset af de problemer udenfor DanID's kontrol, der er opstået, var det så ikke på tide at skrive sin applet i sit sædvanlige programmeringssprog, at kodet fra bunden? Dyrt, men der er vist penge nok i afgifter for brugen af login.

  • 0
  • 0
#5 Deleted User

Det skal bare skrives i HTML og JavaScript, det har altid været platformuafhængigt, og er indenfor de seneste år blevet en ganske fornuftig platform til små applikationer.

Programmer skrevet i traditionelle programmeringssprog kan ikke uden videre køre i en browser, det ville give programmerne stort set uhindret adgang til at overtage systemet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere