– Du må oppdatere Java
For å styre unna et alvorlig sikkerhetshull i Java, oppfordrer NorSIS at du umiddelbart oppdaterer Java. Les her og se hvordan du gjør det.
Dette skriver Norsk senter for informasjonsssikkerhet, NorSIS:
– Sårbarheten, som gjelder versjon 7 og ikke eldre versjoner, har vært en såkalt "0-day exploit", som betyr at det ikke var oppdatering som retter sårbarheten.
Svakheten gjør seg gjeldende når man besøker en side som er kontrollert av en såkalt angriper. Angriperen vil forsøke å få sitt offer til å besøke en bestemt nettside som er kontrollert av angriperen. Besøker offeret denne, vil en ondsinnet kode kjøres i et såkalt "drive-by-downloadangrep”. Det finnes ulike metoder for å manipulere et offer til å besøke en bestemt nettside. Det kan for eksempel være en lenke i en mail man trykker på, hvor man rutes til angriperens nettside.
Det meldes blant sikkerhetsforskere at svakheten hittil er utnyttet i begrenset omfang, og i målrettede angrep. Nettkriminelle er gjerne på jakt etter penger, og nettbanker bruker Java. Det kan være betryggende å vite at bankene vil dekke tapene dersom Java-sårbarhetene fører til at nettbanken tappes. Det gjelder uansett om kundene har ny eller gammel versjon av Java. BankID på mobil er et Java-fritt alternativ og flere banker og teleoperatører tilbyr denne påloggingsmetoden. BankID på mobil er uten Java og du slipper også å bruke kodebrikke.
Koden som utnytter svakheten i Java er rask og pålitelig, slik at man kan forvente at svakheten vil bli mer utnyttet etter hvert, så det gjelder å oppdatere snarest mulig. Det har også kommet en Metasploit modul som utnytter svakheten. Dette gjør svakheten mye mer tilgjengelig og mye lettere å utnytte for angripere. Oracle har gitt ut nye versjoner av Java som retter blant annet denne sårbarheten. Dette gjelder både Windows, OS X og Linux.
Siste versjon av Java er nå update 35 for Java 6 og update 7 for Java 7.
Svakheten er uavhengig av bruk av nettleser, og gjelder Internet Explorer, Firefox, Opera og Chrome.
For å oppdatere går du til www.java.com og velger ”free download”. Les mer om det hos NorSIS.
"