Alvorligt sikkerhedshul i Java

Der er lige opdaget et alvorligt sikkerhedsproblem i Java, et meget udbredt system, der blandt andet bruges til at lave små programmer på websider. 

Stort set alle har Java installeret på computeren, blandt andet fordi NemID er baseret på Java og ikke fungerer uden. Du kan teste din Java-version ved at besøge denne side (den er risikofri):

http://www.java.com/en/download/testjava.jsp

Hvis Java er aktivt, vil du få en rude på siden, der ligner vedlagte. Nyeste version af Java er 7.10, men så vidt vides er alle Java-udgave udsat for problemet.

Kort fortalt kan computere inficeres blot ved at klikke på et skadeligt link, og det udnyttes allerede i dag af hackere, der vil inficere computere med forskellige varianter af virus, keyloggers og rootkits. CERT har udstedt denne advarsel:

http://www.kb.cert.org/vuls/id/625617

Der er i øjeblikket ingen egentlig løsning, og det anbefales derfor at slå Java fra, indtil Oracle, der udgiver Java, har løst problemet og udsendt en opdatering.

Antivirus software kan fange nogle af de programmer, der installeres via Java-hullet, men da sikkerhedsbristen er velkendt i hackerkredse, er der overhængende risiko for, at der findes varianter, der ikke opdages og fjernes af antivirus programmer.

Den eneste sikre løsning her og nu er at slå Java helt fra. I kommentarerne nedenfor vil jeg beskrive forskellige måder til at gøre det.

Vejledninger og skærmskud vil være til Java 7.10 i Windows 7. 

Metode 1 – fjern Java helt:

Den sikreste metode er at fjerne Java helt fra computeren, men da Java blandt andet bruges af NemID, nævner jeg det mest for fuldstændighedens skyld.

1) Gå ind i Kontrolpanel – Programmer – Fjern et program.

2) Find Java i listen (se skærmskud – der er også et versionsnummer) og klik på Fjern for at starte afinstallationen. 

Du kan geninstallere Java senere, når problemet er løst, ved at hente det her:

http://www.java.com/en/download/help/windows_offline_download.xml

Metode 2 (anbefalet) – slå Java fra via Kontrolpanel:

Denne metode er nem at styre og effektiv, men er kun tilgængelig i den nyeste version (7.10) af Java:

1) Gå ind i Kontrolpanel og klik på Java (32 bit) – se skærmskud 1.

2) I det vindue, der åbner, vælger du fanebladet Sikkerhed. Fjern fluebenet ved Enable Java content in the browser og klik på OK – se skærmskud 2.

3) Du får nu Kontrol af brugerkonti – se skærmskud 3 – klik Ja i den.

4) Java bekræfter at indstillingerne er ændret, og gør dig opmærksom på, at det først træder i kraft, når browseren er genstartet – se skærmskud 4.

5) Går du nu ind på en side, der forsøger at bruge Java, vil browseren opfatte det som om Java ikke er installeret, og bede dig installere den manglende Java-udvidelse. Det skal du naturligvis ikke gøre, før sikkerhedshullet er rettet.

Metode 3 – slå Java fra i hver browser:

Har du en ældre Java-udgave end den aktuelle 7.10, skal du enten opdatere den og bruge Metode 2 (ovenfor), eller slå den fra i hver af dine browsere.

Her er metoderne for Firefox og Chrome, hvor det er forholdsvis enkelt:

1) Firefox – gå ind i Indstillinger / Tilføjelser og deaktiver Java (TM) Platform, som vist i det første skærmskud.

2) Chrome – åbn den særlige adresse chrome://plugins, find Java(TM) og klik på Deaktiver – se andet skærmskud.

I Internet Explorer er det betydeligt vanskeligere at deaktivere Java effektivt. Brug derfor en af de første to metoder, hvis du vil bruge Internet Explorer.

Et tip mere:

Hvis du har brug for NemID eller andet, der bruger Java, kan du uden sikkerhedsproblemer aktivere Java, klare dine forretninger, og slå Java fra igen.

Men lad være med at besøge andre hjemmesider undervejs, og husk at genstarte browseren, når du har deaktiveret Java.

Vi forventer at sikkerhedshullet bliver lukket senest på tirsdag.

Chefen for DKCERT Shehzad Ahmad (som overvåger it sikkerhed i Danmark) anbefaler at man har 2 browsere på sin PC.Den ene med Java og den anden uden.Browseren med java skal kun bruges  til steder der kræver nem-id.

Ja, at bruge to browsere, hvor den ene udelukkende anvendes til hjemmebank og andre sider, der med sikkerhed er sikre, giver sikkerhed mod problemet. Det omfatter naturligvis banksider og offentlige myndigheder, hvor man skal logge ind med NemID.

Apple har i øvrigt slået Java fra i deres Safari-browser ved at markere det som skadeligt. Dermed har de brugt deres eget antivirus system til at sikre brugerne mod fejlen.

Seneste nyt er at Oracle har udsendt en opdatering, der lukker det akutte sikkerhedshul, men der er flere andre sikkerhedsproblemer i Java. Situationen er, at omkring 50 % af alle hackerangreb er rettet mod Java, hvilket er meget bekymrende. Problemet er derfor ikke endegyldigt løst, men i Danmark kan vi ikke undvære Java, primært på grund af NemID.

Vores anbefaling er derfor:

1) Hold Java opdateret – den aktuelle version er 7.11

2) Deaktivér Java i din standardbrowser, og brug den til daglig.

3) Hav Java aktiveret i en anden browser, der så startes for at bruge NemID og lignende, hvor Java er en nødvendighed. Brug kun denne browser på sider, der er gode grunde til at stole på – banker, offentlige myndigheder o.lign.

Sikkerhedsproblemerne påvirker kun Java i internetbrowsere, ikke Java-programmer (fx Minecraft), der kører direkte i computeren. Dem er der en del af, og de kan fortsat bruges uden sikkerhedsproblemer.