Java var adgangsvej for 91 procent af webtruslerne

Ifølge en opgørelse fra Cisco bruger hackerne nu næsten udelukkende huller i Java til at inficere computere via nettet. Tre ud af fire stadig en forældet og usikker Java 6 installeret og bliver dermed nemme ofre.

Forleden sendte Oracle sin hidtil største pakke af sikkerhedsopdateringer af sted, inklusive 36 kritiske patches til Java.

Men alt for mange får ikke opdateret med det samme, eller kører flere versioner af Java side om side, hvilket gør det nemt for hackere at finde en sårbarhed, der kan bruges. Det viser en ny rapport fra Cisco om sikkerhedstrusler.

Ifølge The Register var 91 procent af alle webbaserede trusler rettet mod Java, som også har den fordel - for hackerne - at det kører på mange forskellige styresystemer.

Selvom Oracle løbende sender sikkerhedsopdateringer ud, kører mange med usikre versioner af Java. Ifølge Ciscos rapport havde hele 76 procent af firmaets Web Security-kunder installeret Java 6, som ikke længere bliver understøttet af Oracle. Langt de fleste af dem havde også Java 7 installeret, hvilket peger på et andet Java-problem: At det kan være svært at overskue, om man har afinstalleret tidligere versioner.

Forklaringen her kan også være, at det primært er blandt erhvervskunder, Cisco har sin forretning, og at mange af dem skal bruge gamle Java-applikationer internt, som kun kan køre på den sikkerhedsmæssigt forældede Java 6-platform.

»Hvis sikkerhedsfolk, som har begrænset tid til at bekæmpe web-trusler, vælger at fokusere det meste af deres opmærksomhed omkring Java, vil de bruge resurserne på den rette måde,« skriver Cisco i rapporten.

Java bliver globalt set næsten ikke længere brugt på websider, og sikkerhedseksperter og selveste USA’s ministerium for Homeland Security har længe kraftigt anbefalet alle at afinstallere Java helt. Men i Danmark er det nødvendigt at have på computeren, hvis man vil bruge NemID, og det stiller derfor krav til den danske befolknings Java-håndtering.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bo Victor Thomsen

En alternativ synsvinkel er at stille spørgsmålet: Hvorfor i hede hule hellerup baserer man NemId - som stort set alle personer i Danmark er tvunget til at benytte - på en så usikker platform som en java applet ??

  • 14
  • 1
Dennis Rilorin

Nikolaj, jeg er basalt set enig i din holdning, men det er en hårfin grænse mellem brugervenlighed og nødvendig teknisk indsigt.

Langt størstedelen af verdensbefolkningen har ingen interesse i hvordan deres browser henter data og processerer dette og om den nuværende version af forskellige programmer lever op til de nuværende sikkerhedsniveauer. De skal bare se youtube / twitter / facebook og er ligeglade med java eller flash eller hvad det nu hedder det der tekniske gobbledigook.

  • 2
  • 0
Nikolaj Reibke

Ja og det er rigtig synd at de ikke er mere interesseret da det er meget svært bare at holde hackere osv. ude af selv nogenlunde opdateret systemer, som bruges af eksperter. Så er der ingen chance for at holde en hacker væk fra dem der interesserer sig mindre for emnet. Og med en stigende antal brugere der ikke har forstand på teknologien, vil en hacker have det endnu nemmere, næsten lige meget hvad man bygger på sit program, specielt når tilfældet er som her at folk ikke har opdateret software i over 2 år. Specielt for danskere hvor lige akkurat dette har haft så meget medielys at man ikke har kunne undgå at blive informeret omkring det.

Det er et globalt problem generelt ja. Og desværre ikke noget vi har magt over

  • 0
  • 0
Bo Victor Thomsen

Almindelige mennesker er basalt set fløjtende ligeglade med sikkerhedspatches, programopdateringer, driverupdates and whatnot. Og derfor er deres sikkerhedsstandard som den nu er: Yderst varierende.
Dette er basalt set også de samme menneskers personlige problem.
Men i tilfældet med NemId er det en teknologi, som er tvunget ned over ørene på "almindelige mennesker". Jeg kender ingen "ikke nørder" som ville have java installeret, hvis ikke netop var pga. NemId.
Et at de "lesson 101" spørgsmål, man som system designer skal stille er (specielt af store omfattende systemer som NemId): "Hvem er min målgruppe" og "Hvad har det så af konsekvenser"
Jeg tror ikke på, at de designansvarlige for NemId har stillet sig selv de spørgsmål.

  • 0
  • 0
Bo Victor Thomsen

Jep, nu er NemId i gang med at lave den løsning, de burde have startet med.

Og jeg såmænd også basalt enig med dig i dit første postulat: Almindelige brugere burde være bedre rustet når de går i gang med at bruge en Windows/Mac/Linux pc. Men det er en kamp, som ikke kan vindes. Til gengæld bør man som udbyder af internet baserede services ( og specielt dem, som man som borger i Danmark ikke kan undgå) være klar over det ansvar der påhviler en ved installation af diverse add-ons på brugernes pc'er.

  • 2
  • 0
Finn Christensen

En alternativ synsvinkel er at stille spørgsmålet: Hvorfor i hede hule hellerup baserer man NemId - som stort set alle personer i Danmark er tvunget til at benytte..

Fordi man mod bedre viden kunne lave en billig løsning uden nogen konsekvenser af økonomisk art - banker tænker $$$.

Og da tåbeligheden - selvfølgelig - blev helt synlig og åbenlys for alle, så var 'man' da allerede i gang med en løsning i JavaScript - suk. En kopi af en hvilken som helst offentlig institution på røven.. ".. vi er i gang med at ...../..har .... iværksat ...., så denne situation ikke opstår for fremtiden".

Enhver med politik i maven, kender og kan gennemskue den her voldbrugte feberredning, og de burde hver eneste gang rense bulen for at fortælle 'systemet', glem snakken - slendrian og dårlige vaner koster.

  • 1
  • 0
Brian Hansen

Hvorfor har Java ikke fået en auto update feature man skal slå fra manuelt under installation, ligesom Flash? Det er blevet markant sværere at få hul igennem med flash exploits, siden Adobe tog det til sig.
Når det så er sagt, så er jeg skarp modstander af begge teknologier. Enhver der foreslår at udvikle i det anno. 2014 burde omgående ties ihjel, evt. med lidt hjælp fra en hel rulle gaffatape :D

  • 1
  • 0
Log ind eller Opret konto for at kommentere