Kritisk hul i Java bliver først lappet til februar – selvom løsningen er nem

En sikkerhedsforsker blev så træt af Oracles langsomme reaktioner på et kritisk hul i Java, at han selv løste problemet på en halv time. Alligevel går der fire måneder, før Oracle sender opdateringen ud.

Java, som alle danskere med NemID er tvunget til at have installeret, vil frem til februar være ramt af et kritisk sikkerhedshul.

Hullet blev opdaget i slutningen af september af sikkerhedsforskeren Adam Gowdiak, som straks underrettede Oracle, men det store firma mente ikke, at det var muligt at få en patch med i oktober-pakken.

Derfor valgte Adam Gowdiak selv at finde en løsning på det kritiske sikkerhedshul, og det var ikke ret svært, skriver The H Online.

Faktisk var det klaret på en halv time, og kun 25 tegn skulle laves om i Java-koden. Løsningen ville ikke påvirke andre dele af koden, og derfor var der heller ikke brug for omfattende tests, som Oracle ellers brugte som forklaring på, at det ikke var muligt at få en løsning med i oktober-pakken.

Nu står Adam Gowdiak derfor med en kritisk sårbarhed i Java, en nem løsning og en softwareleverandør, som først har tænkt sig at bruge løsningen i næste faste opdateringspakke, der kommer i midten af februar. Hullet er, så vidt vides, ikke kendt af hackere, og sikkerhedsforskeren deler naturligvis kun sin viden med Oracle.

Men i tiden frem til februar kan der nå at ske meget. Og sporene fra lignende situationer skræmmer.

I august måned blev et kritisk hul i Java nemlig pludselig misbrugt af hackere, og Oracle måtte droppe planen om først at sende en patch ud til normal, skemalagt tid i oktober og i stedet i huj og hast sende en nød-lapning ud. Undervejs kom det frem, at Oracle havde kendt til hullet i fire måneder uden at gøre noget ved det i den tid.

Læs også: Stort sikkerhedshul i Java åbner for angreb

Læs også: Kritik: Oracle gjorde intet ved kritiske Java-huller i 4 måneder

Læs også: Oracle hastelapper kritisk Javahul

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Staten er nødt til at indse at Java løsningen ikke er det rigtige, og forlange at der indenfor kort tid findes en migrering væk fra Java. En HTML 1.0 form vil give mig mulighed for at fjerne Java, og vil øge sikkerheden fremfor den nuværende situation. Java bidrager ikke med sikkerhed på klienten, som salgsargumentet ellers er, tværtimod udsætter den klienten for unødig fare.

  • 4
  • 0
Casper Bang

Håber lidt OpenJDK fikser den fejl, men det burde nu ikke være så svært, da det er opensource...


Problemet er jo bare, at fejlen endnu ikke er alm. kendt og derfor kan den naturligvis ikke rettes. Tilgængæld sidder der masser af hackere nu der ved at det ER der, og hvis de kan finde det, kan de sælge deres information til en del $ på det brogede marked. De kan ovenikøbet give deres kunde vished for at hullet vil eksistere i X tid, pg.a. Oracle's udmelding.

  • 4
  • 1
Nicolai Rasmussen

Oracle's holdning til sikkerhed er helt på linje med NemID's. Hvis Oracle ikke var en seriøs leverandør og tog sikkerhed meget alvorligt ville NemID aldrig have valgt at tvinge et helt lands befolkning til at være afhængig af dem. Vi kan være helt trygge.

For få redningsbåde siger du?! Det er helt unødvendigt, her på Titanic er der slet ikke brug for dem - skibet kan ikke synke, og det er det mest sikre skib nogensinde bygget. Der er INGEN grund til bekymring.

  • 5
  • 0
Nicolai Hansen

Rigtigt nok at problemet ikke kan løses af OpenJDK, når de ikke kender det, men at diverse hackere ved at der findes et hul i Java, gør ikke situationen farligere.

Jeg kan garantere dig for at der findes andre huller i Java, så hvorfor skulle man dog gå efter at finde et hul som Oracle allerede kender (og som er nemt at løse), når man 'bare' kan lede efter et helt nyt hul, som først skal identificeres før det kan løses.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize