Nyt sikkerhedshul fundet i kritisk Java-opdatering

Sårbarheden i Java-programmet blev afsløret blot få timer efter den opdatering, der skulle holde hackere ude.

Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Det lader ikke til, at den efterhånden omfattende Java-sag tager nogen ende lige foreløbig. Nu er endnu et sikkerhedshul blevet afsløret kort tid efter, at Oracle opdaterede sit program og hævdede, at softwaren igen var sikker at bruge.

Læs også: Hackerdør i Java er nu lukket

Det er det polske sikkerhedsselskab Security Explorations, der opdagede den nye sårbarhed. Det var det samme selskab, der advarede Oracle mod Zero-day sårbarheden i sidste uge, og som allerede i april gav selskabet en lang liste over sikkerhedshuller, de burde fikse. Det skulle efter sigende blot have taget dem et par timer at finde det nye hul.

Ny version, nyt hul

Den nye sårbarhed påvirker den helt nye version af Java, som Oracle udgav i fredags, altså Java 7 Update 7. Nøjagtig hvordan den nye sårbarhed fungerer, vil selskabet ikke sige noget om ud over, at det lader hackere omgå hele det sandkasse-system, som Java benytter sig af. Dette gør, at de kan installere ondsindet software og udsætte systemet for skadelig programkode.

Læs også: Alvorlig virus generer danskerne

»Sikkerhedshullet er relateret til nogle af de tidligere fejl, vi rapporterede til Oracle i april 2012, som de fortsat ikke har fikset. Hullerne er fortsat mulige at udnytte efter flere sikkerhedsopdateringer,« fortæller chefen for Security Explorations, Adam Gowdiak.

I modsætning til sidste uges Java-sårbarhed, der skabte furore verden over, har ingen hackere endnu benyttet sig af sikkerhedshullet, som Gowdiak og hans team har fundet. Han siger dog, at han i den rapport, de sendte til Oracle, inkluderede flere beviser på, at hullet eksisterer.

Ingen kommentarer

Oracle har ikke lyst til at kommentere, om der er et nyt sikkerhedshul i den seneste version af Java, men bekræfter, at de har fået rapporten fra Security Explorations, og at de vil analysere resultaterne.

Selv om Oracle bekræfter, at der er et sikkerhedshul, må vi vente og se, om de har tænkt sig at tætne det. Normalt opdaterer de Java-softwaren hver anden måned, og forrige uges opdatering var en kriseopdatering uden for tidsplanen. Næste planlagte opdatering er ikke før midten af oktober.

Om de udgiver endnu en ekstra opdatering så kort tid efter den seneste, er usikkert.

Slå Java fra - igen

Nu hvor hackerne derude ved, at der findes en ny sårbarhed, de kan udnytte, vil der nok ikke gå lang tid, før de finder den, og Java-problemerne igen begynder at dukke op. Det er derfor nok bedst at fortsætte uden Java, og først slå det til, når du for alvor har brug for det og kun på sider, du stoler på. Et godt eksempel er på din netbank, hvor du skal slå Java til for at benytte dig af NemID.

Java-sagaen begyndte i sidste uge, da en såkaldt Zero-day sårbarhed i Java blev afsløret. Sårbarheden gjorde det muligt for hackere at tage kontrol over uheldige brugeres computere via såkaldte trojaner.

Oracle valgte at forholde sig tavse hele ugen, selv om store selskaber som Mozilla gik ud og bad sine brugere slå Java fra, mens flere hjemmesider blev angrebet af hackere. Da de endelige gav lyd fra sig, havde de fikset problemet i en sikkerhedsopdatering, som de mente ville gøre Java trygt igen.

Læs også: IT-indbrud holdes skjult for dig

Læs artiklen på teknofil.no

Oversat af Janus Bødker.