Java-rettelse er ukomplet

Artiklen blev oprindeligt publiceret den 15/1/2013

Sikkerhedsforskere mener, at Oracles rettelse til det seneste sikkerhedshul i Java kun fjerner en ud af to sårbarheder.

Forskere fra firmaet Immunity har analyseret rettelsen, der blev udsendt i weekenden. Den skulle forhindre angreb, som udnyttede to sårbarheder. Men firmaets analyse viser, at kun den ene sårbarhed er fjernet.

Esteban Guillardoy fra Immunity konkluderer, at rettelsen forhindrer den aktuelle angrebsmetode i at fungere. Men hvis en angriber finder en ny sårbarhed, kan den kombineres med den eksisterende, ikke-rettede sårbarhed i nye angreb.

US-CERT (United States Computer Emergency Readiness Team) anbefaler, at man fortsat undlader at bruge Java i browsere, hvis man kan undvære det. Det skyldes, at der jævnligt opdages sikkerhedsproblemer med teknologien.

Anbefaling
Installer rettelsen fra Oracle og begræns brugen af Java. Brug for eksempel en særlig browser til websteder, der kræver Java.

Links

• Confirmed: Java only fixed one of the two bugs, blogindlæg af Esteban Guillardoy
• Vulnerability Note VU#625617: Java 7 fails to restrict access to privileged code, US-CERT
• Oracle lukker hul i Java, DKCERT 14-01-2013