It-kriminelle er begyndt at udnytte gamle og velkendte sikkerhedshuller i Java Runtime Environment, JRE, til at forsøge at sprede ondsindede programmer.
Det er problematisk, fordi JRE er en forudsætning for at kunne bruge det nye danske fælles login til netbanker og offentlige tjenester, NemID.
Microsoft har for nylig tilføjet sporing af angrebsforsøg via JRE til selskabets sikkerhedssoftware, og siden da har selskabet registreret en kraftig stigning i antallet af forsøg på at udnytte sårbarheder i JRE. Det skriver it-sikkerhedsbloggeren Brian Krebs.
Stigningen skyldes, at flere af de værktøjer, som de it-kriminelle bruger til deres angreb, nu indeholder flere såkaldte exploits, som udnytter sårbarheder i JRE.
»Java er udbredt, og det gør det interessant for dem, der laver kommercielle exploit kits. Det giver en masse beskydning,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS.
Med et exploit kit kan en kriminel med relativt få it-færdigheder sammensætte et angreb med automatisk genereret kode, som kan indsættes på et sårbart websted, hvorefter koden forsøger at udnytte en lang række almindelige sårbarheder til at installere ondsindede programmer hos webstedets brugere.
Java var én af de første teknologier til at lave webbaserede applikationer, men i dag er det forholdsvis få websteder, som anvender teknologien. I stedet blev den rolle overtaget af for eksempelvis Flash, som er udbredt til næsten alle internetbrugere.
De fleste danske netbanker og nu også NemID er imidlertid baseret på Java. Oracle, som i dag ejer Java-teknologien, udsender jævnligt opdateringer, og de nyere versioner af JRE vil søge efter sikkerhedsopdateringer én gang om måneden.
Men mange brugere har stadig forældede og dermed sårbare versioner af JRE installeret.
»Folk har meget gamle versioner liggende. Det her med automatisk opdatering er relativt nyt. Og selvom man opdaterer til den seneste version, så kan der ligge gamle versioner,« siger teknisk chef Thomas Kristensen fra sikkerhedsfirmaet Secunia.
Det er ikke usædvanligt at finde flere tidligere udgaver af JRE installeret på én og samme pc. Det skyldes, at klienten ikke automatisk fjerner alle tidligere udgaver, fordi der kan være applikationer, der kræver en bestemt version.
Men det betyder også, at der ligger versioner, som er sårbare. Der har tidligere været sårbarheder, som gjorde det muligt for en webapplikation at tilgå en bestemt ældre udgave af JRE. Dermed kunne et gammelt sikkerhedshul i en forældet version udnyttes, selvom der var installeret en nyere version af JRE.
Både Thomas Kristensen og Peter Kruse anbefaler, at private brugere fjerner de gamle versioner af JRE og installerer den nyeste.
»Langt de fleste almindelige brugere bør overveje, om de overhovedet bruger Java,« siger Peter Kruse.
I virksomheder kan det være mere vanskeligt, fordi mange interne applikationer ofte også vil anvende JRE. De er ofte lavet til ét bestemt version, og derfor er man nødt til at teste, om alle applikationer fortsat fungerer, inden man laver en oprydning på alle pc'er.