Java var adgangsvej for 91 procent af webtruslerne

17. januar 2014 kl. 10:1411
Java var adgangsvej for 91 procent af webtruslerne
Illustration: Java.
Ifølge en opgørelse fra Cisco bruger hackerne nu næsten udelukkende huller i Java til at inficere computere via nettet. Tre ud af fire stadig en forældet og usikker Java 6 installeret og bliver dermed nemme ofre.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Forleden sendte Oracle sin hidtil største pakke af sikkerhedsopdateringer af sted, inklusive 36 kritiske patches til Java.

Men alt for mange får ikke opdateret med det samme, eller kører flere versioner af Java side om side, hvilket gør det nemt for hackere at finde en sårbarhed, der kan bruges. Det viser en ny rapport fra Cisco om sikkerhedstrusler.

Ifølge The Register var 91 procent af alle webbaserede trusler rettet mod Java, som også har den fordel - for hackerne - at det kører på mange forskellige styresystemer.

Selvom Oracle løbende sender sikkerhedsopdateringer ud, kører mange med usikre versioner af Java. Ifølge Ciscos rapport havde hele 76 procent af firmaets Web Security-kunder installeret Java 6, som ikke længere bliver understøttet af Oracle. Langt de fleste af dem havde også Java 7 installeret, hvilket peger på et andet Java-problem: At det kan være svært at overskue, om man har afinstalleret tidligere versioner.

Artiklen fortsætter efter annoncen

Forklaringen her kan også være, at det primært er blandt erhvervskunder, Cisco har sin forretning, og at mange af dem skal bruge gamle Java-applikationer internt, som kun kan køre på den sikkerhedsmæssigt forældede Java 6-platform.

»Hvis sikkerhedsfolk, som har begrænset tid til at bekæmpe web-trusler, vælger at fokusere det meste af deres opmærksomhed omkring Java, vil de bruge resurserne på den rette måde,« skriver Cisco i rapporten.

Java bliver globalt set næsten ikke længere brugt på websider, og sikkerhedseksperter og selveste USA’s ministerium for Homeland Security har længe kraftigt anbefalet alle at afinstallere Java helt. Men i Danmark er det nødvendigt at have på computeren, hvis man vil bruge NemID, og det stiller derfor krav til den danske befolknings Java-håndtering.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
19. januar 2014 kl. 20:21

Hvorfor har Java ikke fået en auto update feature man skal slå fra manuelt under installation, ligesom Flash? Det er blevet markant sværere at få hul igennem med flash exploits, siden Adobe tog det til sig. Når det så er sagt, så er jeg skarp modstander af begge teknologier. Enhver der foreslår at udvikle i det anno. 2014 burde omgående ties ihjel, evt. med lidt hjælp fra en hel rulle gaffatape :D

1
17. januar 2014 kl. 11:26

Folk må lære det mest basale om at begive sig på nettet med en computer og generelt at bruge en computer. Man lader jo heller ikke sit barn på 1 år gå rundt alene inde byen.

5
17. januar 2014 kl. 12:22

Nikolaj, jeg er basalt set enig i din holdning, men det er en hårfin grænse mellem brugervenlighed og nødvendig teknisk indsigt.

Langt størstedelen af verdensbefolkningen har ingen interesse i hvordan deres browser henter data og processerer dette og om den nuværende version af forskellige programmer lever op til de nuværende sikkerhedsniveauer. De skal bare se youtube / twitter / facebook og er ligeglade med java eller flash eller hvad det nu hedder det der tekniske gobbledigook.

7
17. januar 2014 kl. 13:50

Almindelige mennesker er basalt set fløjtende ligeglade med sikkerhedspatches, programopdateringer, driverupdates and whatnot. Og derfor er deres sikkerhedsstandard som den nu er: Yderst varierende. Dette er basalt set også de samme menneskers personlige problem. Men i tilfældet med NemId er det en teknologi, som er tvunget ned over ørene på "almindelige mennesker". Jeg kender ingen "ikke nørder" som ville have java installeret, hvis ikke netop var pga. NemId. Et at de "lesson 101" spørgsmål, man som system designer skal stille er (specielt af store omfattende systemer som NemId): "Hvem er min målgruppe" og "Hvad har det så af konsekvenser" Jeg tror ikke på, at de designansvarlige for NemId har stillet sig selv de spørgsmål.

8
17. januar 2014 kl. 13:53

Der vil jeg give dig helt ret, NemId har ikke været grundige nok på de punkter, hvilket de åbenlyst er blevet mere klar over nu.

9
17. januar 2014 kl. 14:09

Jep, nu er NemId i gang med at lave den løsning, de burde have startet med.

Og jeg såmænd også basalt enig med dig i dit første postulat: Almindelige brugere burde være bedre rustet når de går i gang med at bruge en Windows/Mac/Linux pc. Men det er en kamp, som ikke kan vindes. Til gengæld bør man som udbyder af internet baserede services ( og specielt dem, som man som borger i Danmark ikke kan undgå) være klar over det ansvar der påhviler en ved installation af diverse add-ons på brugernes pc'er.

6
17. januar 2014 kl. 12:59

Ja og det er rigtig synd at de ikke er mere interesseret da det er meget svært bare at holde hackere osv. ude af selv nogenlunde opdateret systemer, som bruges af eksperter. Så er der ingen chance for at holde en hacker væk fra dem der interesserer sig mindre for emnet. Og med en stigende antal brugere der ikke har forstand på teknologien, vil en hacker have det endnu nemmere, næsten lige meget hvad man bygger på sit program, specielt når tilfældet er som her at folk ikke har opdateret software i over 2 år. Specielt for danskere hvor lige akkurat dette har haft så meget medielys at man ikke har kunne undgå at blive informeret omkring det.

Det er et globalt problem generelt ja. Og desværre ikke noget vi har magt over

2
17. januar 2014 kl. 11:37

En alternativ synsvinkel er at stille spørgsmålet: Hvorfor i hede hule hellerup baserer man NemId - som stort set alle personer i Danmark er tvunget til at benytte - på en så usikker platform som en java applet ??

10
19. januar 2014 kl. 18:28

En alternativ synsvinkel er at stille spørgsmålet: Hvorfor i hede hule hellerup baserer man NemId - som stort set alle personer i Danmark er tvunget til at benytte..

Fordi man mod bedre viden kunne lave en billig løsning uden nogen konsekvenser af økonomisk art - banker tænker $$$.

Og da tåbeligheden - selvfølgelig - blev helt synlig og åbenlys for alle, så var 'man' da allerede i gang med en løsning i JavaScript - suk. En kopi af en hvilken som helst offentlig institution på røven.. ".. vi er i gang med at ...../..har .... iværksat ...., så denne situation ikke opstår for fremtiden".

Enhver med politik i maven, kender og kan gennemskue den her voldbrugte feberredning, og de burde hver eneste gang rense bulen for at fortælle 'systemet', glem snakken - slendrian og dårlige vaner koster.

4
17. januar 2014 kl. 12:18

Efter sigende er de godt i gang med en javascript løsning i form af et webinterface.

så hvorfor snakker i om det der allerede er planlagt når i nu vælger at besvare min kommentar?