Tietoturva

Javasta löydettiin taas aukko – hyökkäykset alkoivat jo toissapäivänä

Julkaistu: , Päivitetty:

Oraclen Javasta paljastui uusi tietoturva-aukko. Aukkoa on hyödynnetty hyökkäyksissä jo kahden päivän ajan.
Uusi haavoittuvuus koskee Java-selainlaajennusosan lisäksi myös palvelimella ajettavaa Java JRE -virtuaalikonetta. Haavoittuvuuden avulla voidaan ohittaa Javan hiekkalaatikon tarjoama suoja.

Haavoittuvuuden hyväksikäyttö edellyttää kuitenkin sitä, että käyttäjä ohittaa järjestelmän antaman varoituksen haitallisesta Java-ohjelmasta. Käyttäjän ei siis pidä antaa epämääräiseltä vaikuttaville ohjelmille lupaa järjestelmää, kerrotaan Viestintäviraston kotisivuilla.  

F-Securen Mikko Hyppönen totesi Twitterissä, että murtautujat alkoivat hyödyntää aukkoa jo sunnuntaina. 

Haavoittuvuus kaikissa
SE 7-versioissa


Haavoittuvuus löytyy kaikista Javan SE 7 -versioista. Aukon löysi puolalainen tietoturvayhtiö Security Explorations. Oracle ei ole toistaiseksi vahvistanut uutta havaittua tietoturva-aukkoa.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Oracle paikkasi edellisen paljastuneen tietoturva-aukon viime viikolla ja kehotti ohjelman käyttäjiä lataamaan uuden version ohjelmasta. Lukuisten tietoturvaongelmien jatkumo nakertaa Javan uskottavuutta käyttäjien silmissä.

Monet yritykset pohtivat parhaillaan voisivatko ne poistaa Javan käytöstään työkoneistaan ilman, että se aiheuttaisi suuria käytännön ongelmia. Vaihtoehto ei ole ongelmaton, koska niin moni yritys on riippuvainen Javaa käyttävistä ohjelmistoista ja internet-sivuista.

Osittaisena tietoturvaongelman ratkaisuna osa internet-selaimista tarjoaa jo vaihtoehtona Javan valikoivaa käyttöä turvariskien minimoimiseksi. Esimerkiksi Safarilla voi valita, mitä Java-sovelluksia käyttäjä sallii koneensa käytettävän ja mitä ei.

Kommentit

    Näytä lisää