De seneste dages udbrud af Flashback-trojaneren på Mac-computere har igen sat fokus på sikkerheds-problemer med Java. Flashback bruger et Java-sikkerhedshul til at smutte ind på computeren uden at brugeren behøver foretage sig noget. Det er en kendt sag, at it-kriminelle i stigende grad udnytter huller i tredjeparts-software som Flash, PDF og Java.
Selv hvis operativsystemet er opdateret med de seneste sikkerhedsrettelser, kan man ikke være sikker på, om der lurer en sårbarhed i Java-installationen eller et andet tilføjelsesprogram til browseren.
Hvis man vil være helt sikker, bør man slette Java på computeren. Men er det overhovedet realistisk? Hos ZDNet har man kigget på, om det er praktisk muligt at slippe for at bruge Java.
Det viser sig, at der er utrolig mange programmer, som benytter Java Runtime Engine (JRE). Det gælder alt fra populære spil som Minecraft og Runescape til Adobe Creative Suite 5.5, OpenOffice (som bruger Java til databasen) og Cisco AnyConnect.
I nogle tilfælde er det kun enkelte funktioner, der kræver Java, men man kan også risikere at programmet slet ikke vil starte uden JRE.
Som danske brugere har vi et helt særligt problem. Den fælles login-platform NemID anvender nemlig en såkaldt Java-applet og kræver altså at man har Java installeret på computeren.
Der har tidligere været kritik af sammenhængen mellem NemID og Java, for antallet af sårbarheder i Java vokser markant.
Microsofts sikkerhedsfolk stoppede således flere end 27 millioner Java-exploits fra midten af 2010 til midten af 2011, og hackere lancerer fortsat i rekordfart angreb, der udnytter sårbarheder i Oracles Java-software.
NemID hævder selv at den valgte Java-løsning er sikker. Men problemet ligger i, at det overhovedet er nødvendigt at have Java på sin computer for at bruge netbanken og andre tjenester.
For som det seneste Flashback-udbrud viser, kan det hurtigt rive et hul i sikkerheden - selv på Mac-computere, som ellers ikke har været så udsat for virus.
En undersøgelse fra danske CSIS viste sidste år, at 37 pct. af alle inficeringer på Windows sker gennem Java JRE.
ZDNet foreslår at man bør deaktivere Java i sin primære browser og så bruge en sekundær browser med Java aktiveret til de tjenester, som kræver denne teknologi. Dermed kan man i det mindste surfe lidt mere sikkert på nettet.
