Av
Vad har hänt?
Den 30 augusti släppte Oracle en säkerhetsuppdatering utanför det vanliga uppdateringsschemat. Den var avsedd att täppa till fyra hål som gör det möjligt att fjärrköra program på användares datorer utan inloggning.
Säkerhetshålen berör Javaprogram som körs i webbläsare, så kallade applets, inte fristående Javaprogram på klientdatorer eller servrar. Användaren måste surfa till en webbplats som innehåller skadlig kod som utnyttjar sårbarheterna och måste ha administrativa rättigheter på sin dator, vilket till exempel är vanligt på Windows XP.
Vilka risker finns?
Skadlig Javakod som utnyttjar hålen kan i princip ta kontroll över en användares dator och ladda ner annan skadlig kod, skada filer, ta del av information och överhuvudtaget hota integriteten för datorn.
Varför så mycket liv?
Hundratals miljoner användare av Java SE 7, den senaste grundversionen av Javamiljön, riskerar att drabbas av intrång. Attacker har redan skett.
Samtidigt får Javaleverantören Oracle kritik på flera fronter. För det första påstås Oracle ha fått information om säkerhetshålen redan i april, från det polska företaget Security Explorations. Om det stämmer har Oracle tagit fyra månader på sig att täppa igen hålen, vilket många anser är oacceptabelt.
För det andra har Security Explorations hittat nya sårbarheter i uppdateringen som släpptes den 30 augusti.
För det tredje tycker många att Oracle har varit dåligt på att informera om sårbarheterna och vad som görs åt dem.
För det fjärde är det extra struligt för Macanvändare eftersom de ibland får tillgång till uppdateringar flera veckor, eller månader, efter Windowsanvändare.
Vad kan man göra?
Ett absolut minimum av åtgärder är att installera den uppdatering som Oracle släppt. Men om man fortfarande känner sig osäker är den enda rimliga åtgärden att inte använda Java, åtminstone inte i webbläsare. Det finns exempel på företag som har stängt av möjligheten att köra Java på de anställdas datorer. För en it-chef blir situationen orimlig om företaget är beroende av Javaprogram som körs i webbläsare.
Vad innebär det här på lång sikt?
Java är på väg att bli ifrågasatt som plattform för att köra applikationer. För säkerhetsmedvetna företag är det naturligt att identifiera och åtgärda den svagaste länken i kedjan och om Java upplevs vara den kommer man att titta på alternativa plattformar.
Det är naturligtvis inte gjort i en handvändning att byta ut en så spridd plattform som Java, men det här kan mycket väl bli den första spiken i kistan för Java.
Den 30 augusti släppte Oracle en säkerhetsuppdatering utanför det vanliga uppdateringsschemat. Den var avsedd att täppa till fyra hål som gör det möjligt att fjärrköra program på användares datorer utan inloggning.
Säkerhetshålen berör Javaprogram som körs i webbläsare, så kallade applets, inte fristående Javaprogram på klientdatorer eller servrar. Användaren måste surfa till en webbplats som innehåller skadlig kod som utnyttjar sårbarheterna och måste ha administrativa rättigheter på sin dator, vilket till exempel är vanligt på Windows XP.
Vilka risker finns?
Skadlig Javakod som utnyttjar hålen kan i princip ta kontroll över en användares dator och ladda ner annan skadlig kod, skada filer, ta del av information och överhuvudtaget hota integriteten för datorn.
Varför så mycket liv?
Hundratals miljoner användare av Java SE 7, den senaste grundversionen av Javamiljön, riskerar att drabbas av intrång. Attacker har redan skett.
Samtidigt får Javaleverantören Oracle kritik på flera fronter. För det första påstås Oracle ha fått information om säkerhetshålen redan i april, från det polska företaget Security Explorations. Om det stämmer har Oracle tagit fyra månader på sig att täppa igen hålen, vilket många anser är oacceptabelt.
För det andra har Security Explorations hittat nya sårbarheter i uppdateringen som släpptes den 30 augusti.
För det tredje tycker många att Oracle har varit dåligt på att informera om sårbarheterna och vad som görs åt dem.
För det fjärde är det extra struligt för Macanvändare eftersom de ibland får tillgång till uppdateringar flera veckor, eller månader, efter Windowsanvändare.
Vad kan man göra?
Ett absolut minimum av åtgärder är att installera den uppdatering som Oracle släppt. Men om man fortfarande känner sig osäker är den enda rimliga åtgärden att inte använda Java, åtminstone inte i webbläsare. Det finns exempel på företag som har stängt av möjligheten att köra Java på de anställdas datorer. För en it-chef blir situationen orimlig om företaget är beroende av Javaprogram som körs i webbläsare.
Vad innebär det här på lång sikt?
Java är på väg att bli ifrågasatt som plattform för att köra applikationer. För säkerhetsmedvetna företag är det naturligt att identifiera och åtgärda den svagaste länken i kedjan och om Java upplevs vara den kommer man att titta på alternativa plattformar.
Det är naturligtvis inte gjort i en handvändning att byta ut en så spridd plattform som Java, men det här kan mycket väl bli den första spiken i kistan för Java.
