Forleden sendte Oracle sin hidtil største pakke af sikkerhedsopdateringer af sted, inklusive 36 kritiske patches til Java.
Men alt for mange får ikke opdateret med det samme, eller kører flere versioner af Java side om side, hvilket gør det nemt for hackere at finde en sårbarhed, der kan bruges. Det viser en ny rapport fra Cisco om sikkerhedstrusler.
Ifølge The Register var 91 procent af alle webbaserede trusler rettet mod Java, som også har den fordel – for hackerne – at det kører på mange forskellige styresystemer.
Selvom Oracle løbende sender sikkerhedsopdateringer ud, kører mange med usikre versioner af Java. Ifølge Ciscos rapport havde hele 76 procent af firmaets Web Security-kunder installeret Java 6, som ikke længere bliver understøttet af Oracle. Langt de fleste af dem havde også Java 7 installeret, hvilket peger på et andet Java-problem: At det kan være svært at overskue, om man har afinstalleret tidligere versioner.
Forklaringen her kan også være, at det primært er blandt erhvervskunder, Cisco har sin forretning, og at mange af dem skal bruge gamle Java-applikationer internt, som kun kan køre på den sikkerhedsmæssigt forældede Java 6-platform.
»Hvis sikkerhedsfolk, som har begrænset tid til at bekæmpe web-trusler, vælger at fokusere det meste af deres opmærksomhed omkring Java, vil de bruge resurserne på den rette måde,« skriver Cisco i rapporten.
Java bliver globalt set næsten ikke længere brugt på websider, og sikkerhedseksperter og selveste USA’s ministerium for Homeland Security har længe kraftigt anbefalet alle at afinstallere Java helt. Men i Danmark er det nødvendigt at have på computeren, hvis man vil bruge NemID, og det stiller derfor krav til den danske befolknings Java-håndtering.
Leave a Reply