Kun den allernyeste udgave af applikationsplatformen Java indeholder ikke en kritisk sårbarhed, som kan udnyttes til at inficere en pc. Nu er den første kode til at udnytte sårbarheden offentliggjort, oplyser sikkerhedsfirmaet CSIS.
Sikkerhedshullet kan udnyttes ved at lokke brugeren til at besøge en hjemmeside med den ondsindede kode. Det kan eksempelvis ske ved at udsende spammails, hvor brugeren lokkes til at klikke på et link.
Sårbarheden findes i alle udgaver af Java, bortset fra den allernyeste Java 7 Update 25, og derfor opfordrer CSIS til, at man opdaterer og også fjerner eventuelle gamle udgaver af Java fra sin pc ved hjælp af et værktøj, som kan køres via Oracles hjemmeside.
Java bruges af mange danskere, fordi det er en forudsætning for at kunne bruge den nuværende udgave af login-systemet NemID, som blandt andet benyttes til at få adgang til de fleste netbanker og offentlige selvbetjeningsløsninger.
Flere sikkerhedseksperter har anbefalet, at man ikke har Java-browserplugin'et installeret, medmindre man har specifikke webapplikationer, som er afhænge af Java, og det er altså tilfældet for danskerne, indtil en ny udgave af NemID er klar.
Java-appletters store fordel er, at Java tillader applikationer med flere muligheder end normalt i en browser, og applikationerne kan køre på mange forskellige platforme. Det betyder imidlertid også, at sikkerhedshuller i browserplugin'et til Java kan udnyttes til at inficere mange forskellige styresystemer.
