Apple kastet nylig ut Java av standard distribusjonen i OS X og begrunnet denne «utkastelsen» med sikkerhetsproblemer i Java. Apple selv har aldri vært spesielt flinke til å oppdatere Java og sikkerhetsutfordringene Apple begrunnet utkastelsen med har denne uka blitt mer tydlig.
Det finnes nå nemlig et alvorlig sikkerhetshull i siste utgave av Java og foreløpig finnes det ingen feilrettinger fra Oracle. Hullet kan også påvirke oss Mac-brukere.
Feilen som nylig ble oppdaget i Java rammer alle operativsystemer (OS X, Windows og Linux) og fungerer på tvers av nettlesere. Feilen gjør det mulig for en ondsinnet person å lede deg inn på en nettside som deretter automatisk kjører Java og laster ned en lokal applikasjon som kan kjøres på OS X.
Hullet er gjeldende i versjon 1.7 og nyere av Java Runtime Enviornment - også update 6 som ble sluppet for kun et par måneder siden. Hullet skal også være testet og fungere i Firefox, Chrome og Safari under Mountain Lion.
Foreløpig finnes det ikke noen trusler som benytter dette hullet, men gitt at nesten alle fjorårets og årets trojanere - inkludert Flashback som spredde seg til mange Macer - ble distribuert gjennom sikkerhetshull i Java og/eller Flash er det rom for bekymring.
Siden det foreløpig ikke finnes en oppdatering er det sikreste man kan gjøre å slå av Java i Safari eller nettleseren man benytter. I tillegg bør man være oppmerksom på hvilke nettsider man besøker og holde seg unna lyssky sider. Java kan slås av under «Sikkerhet» i Safari sine valg.
Merk at BankID dessverre krever Java og dermed ikke vil fungere hvis du slår dette av i Safari eller andre nettlesere. Inntil dette hullet er tettet kan det være smart å ha Java slått av i din generelle nettleser og heller benytte en annen nettleser med påslått Java for BankID.
unalfcbmessi ons, 29/08/2012 - 15:23
Dere sier benytt en annen nettleser med påslått Java for BankID. Hva er forskjellen da man bruker en annen nettleser? Jeg bruker Safari til vanlig, så om jeg bruker Chrome frem til problemet er løst. Hva skal det hjelpe? OG, skal man slå av Javascript? Eller bare Java. Lurer på dette, håper noen kan svare :)
admin ons, 29/08/2012 - 15:23
Hvis du bruker Safari til vanlig, så slår du av Java i denne og bruker Chrome kun til BankID/nettbank. Da er du safe på alt du gjør i Safari og i Chrome vil du ikke ha noen problemer siden du kun benytter BankID på bankenes nettsider.
iSkf95 ons, 29/08/2012 - 15:26
Tror forfatter mener følgende:
I stedet for å slå av og på Java i Safari, kan du ha det av permanent, men midlertidig (altså fram til en fiks kommer), og bruke en annen nettleser med Java påslått hele tiden de gangene en trenger det.
Det enkleste er vel å sku av Java, og skru det på de gangene du har behov for det, for deretter å skru det av igjen.
jpsalvesen ons, 29/08/2012 - 15:31
Jo, @unalfcbmessi, om du gjør resten av surfingen din med java avslått så vil du ikke eksponere deg for sårbarheten - det er ikke godt å vite hvor du kan se en infisert annonse eller forumpost...
De få gangene du skal bruke banken din, så bruker du chrome.
Da har du effektivt fjernet eksponeringen din for denne sårbarheten.
SeaLion ons, 29/08/2012 - 16:42
Oppklaring:
Java og javascript har ikke noe annet til felles enn navnelikheten. Det er altså ikke noe poeng i å "helgardere" ved å slå av både Java og javascript.
Lars A. Gundersen ons, 29/08/2012 - 18:00
Angrep er nå på nett som benytter sårbarheten:
http://www.vg.no/teknologi/artikkel.php?artid=10068273
Seraphiel ons, 29/08/2012 - 19:02
Bruker du mobil som kodebrikke så behøver du ikke Java. Gikk fint i går for meg å logge meg inn hos DNB med Java slått av.
musepsycho ons, 29/08/2012 - 19:15
Jeg bruker mest Firefox men finner ingen steder å slå av Java der... Hjelp?
Mac11e ons, 29/08/2012 - 20:45
DnB tilbyr innlogging uten java via på nettsiden sin så lenge du har kodebrikke, passordkalkulator eller BankID på mobilen. Mulig flere banker tilbyr lignende løsninger, det skal jeg ikke svare sikkert på.
sveian2 tor, 30/08/2012 - 06:16
se under "tools" - "add-ons" - "plugins" - "Java applet plug-in" trykk på "disable".
shakerz tor, 30/08/2012 - 08:43
Hvis sikkerhetshullet bare eksisterer i Java 1.7 og nyere så er det vel ikke noe stort problem for macbrukere. Alle mine maskiner har Java 1.6 og jeg har kjørt alle oppdateringer.
pg12aa tor, 30/08/2012 - 10:09
Dette gjelder for Java 7, som svært få med Mac har installert. Du må ha lastet det ned og installert det selv fra Oracle. Hvis du har installert Java på vanlig måte på Mac så kjører du Java 6 som ikke har det sikkerhetshullet som er beskrevet her. Det betyr ikke at man skal være forsiktig med bruk av Java og andre nettleser-plugins. Java 6 på Mac har jo også hatt sine utfordringer tidligere, men det vel ingen kjente slike sikkerhetshull i nyeste versjon av Java 6.
CausingHickory tor, 30/08/2012 - 10:42
OS X bruker java versjon 6.33 og det er andre sårbarheter knyttet til denne versjonen, så den er ikke mer sikker enn V7.6. Dessverre.
Lars A. Gundersen tor, 30/08/2012 - 13:42
Men, er ikke egentlig Safari sandboxed på 10.7 og 10.8, nettopp for å bøte på slike farer?
Greymale tor, 30/08/2012 - 15:55
Java fungerte fint i Safari og nettbank innlogging etter at jeg lastet ned og innstallerte siste versjon av Java fra Oracle. Deaktiverte den i nettleseren etter "rådet" i denne artikkelen over her. Kommer ikke igang igjen på nettbanken og innlogging etter at den er forsøkt aktivert på nytt. Så der står vi. Heldigvis finnes det andre innloggingsmetoder enn via Java, men irriterende allikevel..
SteinR lør, 01/09/2012 - 16:53
Mulig dumt spørsmål, men hva utover nettbank evt brukes Java til?
djhalleu man, 03/09/2012 - 17:45
Og nå er oppdateringen kommet.
svar man, 03/09/2012 - 18:04
@SteinR Crashplan eks.
cwatndal man, 03/09/2012 - 18:50
Plain vanilla Snow Leopard gir:
uname -a
Darwin themac.local 12.1.0 Darwin Kernel Version 12.1.0: Tue Aug 14 13:29:55 PDT 2012; root:xnu-2050.9.2~1/RELEASE_X86_64 x86_64
java -version
java version "1.6.0_33"
Java(TM) SE Runtime Environment (build 1.6.0_33-b03-424-11M3720)
Java HotSpot(TM) 64-Bit Server VM (build 20.8-b03-424, mixed mode)
Mags man, 03/09/2012 - 20:48
Og nå er oppdateringen kommet.
Får ikke opp at jeg har noen oppdateringer tilgjengelig i Programvareoppdatering/App Store. Pleier ikke Java oppdateringene å komme fra Apple?
HenrikWL man, 03/09/2012 - 20:50
Ikke nå lenger. Nå må man selv holde Java oppdatert.
Mags man, 03/09/2012 - 21:05
Hvor finner jeg oppdateringen? Prøvde å søke men kommer bare til div. Windows-sider.
svar man, 03/09/2012 - 21:09
[url">http://www.oracle.com/technetwork/java/javase/downloads/jre7u7-downloads-1836441.html
Her :)
Autoxave man, 03/09/2012 - 21:24
Under "valg" i safari er kan man huke av for både java og javascript. Gjelder sårbarheten begge to eller er det kun java som en bør avhuke?
HenrikWL man, 03/09/2012 - 21:44
Følg heller linken rett over innlegget ditt og installér den oppdateringen, så slipper du å huke av noe som helst. :)
Master_Gismo tir, 04/09/2012 - 01:01
Jeg syns overskriften er veldig villledende på denne tråden.
Dette gjelder sikkerhets hull i Java. Det gjelder ikke OS-X, som det står i overskriften. Så om du fjerner Java programmet, eller ikke installerer det. Da er også sikkerhetshullet borte. Dette er heller ikke noe nytt, Java har alltid vært skikkelig dårlig og tungt program å jobbe med. Derfor alle har sluttet å bruke det for mange år siden.
Autoxave tir, 04/09/2012 - 09:39
Følg heller linken rett over innlegget ditt og installér den oppdateringen, så slipper du å huke av noe som helst. :)
Har ikke Java 7 så det er ingen vits i å installere oppdateringen, er det? Spørsmålet var om en også burde huke av Java script under valg i Safari for å være på den sikre siden.
BTJ tir, 04/09/2012 - 09:43
Jeg får ikke oppdatert min java SE 6 1.6.0_33
De hennviser til vanlig oppdatering ??
vet ikke hva jeg skal gjøre ?
HenrikWL tir, 04/09/2012 - 10:51
Har ikke Java 7 så det er ingen vits i å installere oppdateringen, er det? Spørsmålet var om en også burde huke av Java script under valg i Safari for å være på den sikre siden.
Har du ikke Java 7 så er du ikke eksponert for dette sikkerhetshullet og trenger ikke deaktivere noenting, men Java 6 har en rekke svakheter som er fikset i Java 7. Så det blir jo en avveiningssak - Apple kommer aldri til å oppdatere til Java 7 siden de har droppet støtte for Java.
JavaScript har ingenting med Java å gjøre og du trenger ikke å bry deg med det i denne sammenhengen.
Jeg får ikke oppdatert min java SE 6 1.6.0_33
De hennviser til vanlig oppdatering ??
vet ikke hva jeg skal gjøre ?
Hvis du vil installere Java 7 følger du linken i innlegget til brukeren "svar" og installerer derfra. Siden du kun har Java 6 er det ingen krise for din del, men det er allikevel lurt å oppdatere.
HansPetter ons, 05/09/2012 - 06:36
Jeg har brukt lenken til "svar", og det så ut til å gå greit.
Men når jeg åpner "java-valg", så er det Java SE 6 1.6.0_33 osv. i 32- og 64-bit jeg ser. Ingenting om Java 7...
Kan noen forklare meg det?
HenrikWL ons, 05/09/2012 - 09:21
Lenken til "svar" er til JRE, altså Java-plugin til nettleseren. "Java-valg" viser deg hvilken JDK, alså utviklerversjon, som er installert. Dette er to forskjellige installasjoner.
Hvilken nettleser-pluginversjon du har installert sjekker du enten på Java.com, eller i nettleserens pluginoversikt. :)
HansPetter ons, 05/09/2012 - 22:31
Henrik: Takk. Men en ting til: I Safari kan du velge om du vil skru av Java eller JavaScript. Men hvordan gjør jeg det samme i Chrome? Ser bare JavaScript som et option, og det er jo ikke akkurat det jeg skal skru av.
iJHH tor, 06/09/2012 - 12:17
Nå er Apple kommet med Java oppdatering 1.6.0_35.
Hva skjer da med versjon 1.7.07 som noen av oss har innstallert selv?
willytk fre, 07/09/2012 - 14:43
@CausingHickory: Zero-daybuggen som var referert til i denne artikkelen gjaldt kun version 7, og denne må installeres separat fra java.com, i tillegg krever den OS X 10.7
Har du noe grunnlag for denne påstanden? Jeg kan ikke finne noen linker til kjente sårbarheter i Java 6 Update 33.
Gunsmoke ons, 26/09/2012 - 17:35
Ser at det igjen er funnet en kritisk feil i Java.
http://www.dinside.no/903003/ny-kritisk-java-feil
Maccrell ons, 26/09/2012 - 18:33
Sikkerhetshullet gjelder også eldre Java versjoner bare så det er klart, og Mac er like utsatt som Pc.
Flere nettbanker krever Java så det er ikke bare å slette Java. En del spill krever også Java f.eks. Minecraft.
Sikkerhetshullet gjør at maskinene med Java kan hackes, men hvor mange står egentlig i kø for å hacke oss ?
Det kommer nok snart en oppdatering så ingen grunn til panikk.
På Mac er det uansett en fordel å ha på brannmur og å kryptere disken.
På Pc er det fornuftig å ha nyoppdaterte sikkerhetsprogrammer som ikke bare kan oppdage virus, men også trojanere etc. Noen kjører jo også Windows på sin kjære Mac.
Til dere som kjører Windows kan det være fornuftig å bruke programmer som Microsoft Security Essentials, Malwarebytes Anti-Maleware, Spamfighter og CCleaner.
http://www.idg.no/computerworld/article255281.ece