Søg

Læren af Java-hullet: Vi har brug for central styring

Computerworld mener: Sikkerhedshullet i Java afslørede samtidig det egentlige hul i den danske web-sikkerhed.

14. januar 2013 kl. 13.01
Artikel top billede
Kim Stensdal Kim Stensdal Teknologiredaktør

Læs også:
Kæmpe nul-dags-hul fundet i Java - din netbank i fare

Myndighed: Danskerne skal deaktivere Java nu

Nets trods kæmpe Java-hul: Brug NemID som normalt

Computerworld mener: Der mangler en sikkerheds-kalif i Danmark.

Sådan én, der kan banke i bordet og afgøre, hvad der er rigtigt og forkert. Én andre lytter til og retter sig efter. Altid.

Det er i hvert fald, hvad man kan ønske sig denne mandag, efter at et kæmpe 0-dags-hul i Java i fredags fik alle advarselslamper til at blinke.

Sikkerhedshullet i Javas JRE er opsigtvækkende af flere grunde.

Dels er Java at finde på milliarder af maskiner verden over, dels bruges Java til mange forskellige typer af applikationer - ikke mindst til NemID her i Danmark.

Derfor søger mange naturligvis et godt råd, når nu alarmklokkerne ringer.

Skal man deaktivere Java, eller er hullet ikke så kritisk, at det er nødvendigt?

I fredags fik man mange ord fra mange kloge folk. Men man blev ikke nødvendigvis meget klogere.

Sådan lød anbefalingerne

Sikkerhedsfirmaet CSIS Security Group kunne oplyse om et omfattende misbrug fra flere dedikerede og organiserede bander:

"... der systematisk anvender det friske hul til at plante ransomware, netbank- og informationstyve samt avancerede rootkits og downloadere, der kan installere falske sikkerhedssprodukter og anden uønsket software."

Det officielle danske sikkerhedscenter i Danmark, DK-CERT, gik direkte ud med en advarsel mod at bruge browsere med Java 7 aktiveret.

"I august så vi et lignende sikkerhedshul i Java, og vores anbefaling er denne gang, at borgerne skal deaktivere browserens Java-plugin," lød det fra DK-CERT.

Chef-sikkerhedskonsulent Thomas Wong fra Fortconsult anbefalede også, at offentlige myndigheder og virksomheder burde slå Java fra med det samme.

Samtidig erkendte han dog, at det kan være lettere sagt end gjort:

"Har de slået det fra? Det tvivler jeg på. De kan have interne systemer, som kræver Java-understøttelse, og spørgsmålet er, hvor meget de kunne arbejde uden Java," sagde han.

Nets: Kør bare videre
Og så kom leverandøren af NemID, Nets, på banen, og her lød anbefalingen pludselig:

"Vi anbefaler, at folk benytter Java, som de plejer."

For selvom Nets skam var bekendt med Java-hullet og havde læst sikkerhedseksperternes anbefalinger, var it-leverandøreren af en anden opfattelse:

"Vi mener dog ikke, at der er nogen grund til at gøre noget specielt som eksempelvis at afinstallere Java eller gøre andet på nuværende tidspunkt."

"Vi hører også, at man bør deaktivere Java eller benytte særskilte browsere, men det mener vi ikke er nødvendigt på nuværende tidspunkt."

Nu bliver forvirringen da total

Hvis der skulle sidde nogen derude bag computerskærmene med en mistanke om, at Nets som NemID-leverandør forsøgte at nedtone Java-dramatikken, så var der skam også andre, der ikke mente, at man skulle slå Java fra.

"Man skal udvise påpasselighed og installere opdateringer, når de kommer," lød udmeldingen fra GovCERT, som hører under Forsvarets Efterretningstjeneste og koncentrerer sig om cyber-angreb rettet mod myndigheder.

Kiggede man mod udlandet, blev forvirringen total, for blandt andre det svenske CERT og US Homeland Security mente nemlig, at man skulle slå Java fra.

Anbefalingerne var mange, og de gik ikke i samme retning.

Det mest konkrete er næsten kommet fra Oracle selv, der rangerer sikkerhedshullerne med en score på 10 på CVSS Base Score (Common Vulnerability Scoring System), hvor skalaen går fra 0 til 10 med 10 som det højeste. 

Hvem kan vurdere sikkerhedstrusler?
Thomas Kristmar fra GovCert kom i fredags med denne udmelding:

"Hvis man eksempelvis har et forretningsmæssigt behov for at bruge Java, så er det jo dem, der har forretningen, som skal finde ud af, hvilke forretningsmæssige konsekvenser det vil have for dem at imødegå det," sagde han.

Det er en fornuftig tilgang til sikkerhedsspørgsmål. For myndigheder og virksomheder, der ved, hvad de har med at gøre og kan foretage en risikovurdering.

Langt værre er det med de almindelige net-brugere, der ikke har den fornødne indsigt eller viden og derfor må forholde sig til de officielle udmeldinger.

For hvad var det nu lige præcis, anbefalingen var? Skulle man slå Java fra eller ej?

Her står vi i dag

Selvom Oracle i første omgang var noget tavs omkring sikkerhedshullet, kom selskabet allerede søndag med to rettelser, der kan lappe hullet i firmaets Java-platform.

Dermed har vi en løsning på det aktuelle problem.

Hvad vi dermed mangler, er et svar på, hvem man skal lytte til, næste gang et kritisk hul i Java eller andre teknologier, afsløres.

Måske er det bare utopi at tro, at det kan lade sig gøre? Måske er sikkerhed for kompliceret et spørgsmål til, at nogen kan levere enkle svar?

Hvis det er tilfældet, hvem vælger du så at lytte til, næste gang, der er problemer med sikkerheden?

Mens du tygger på det spørgsmål, kan du hente rettelserne til Java-hullet her.

Læs også:

Kæmpe nul-dags-hul fundet i Java - din netbank i fare

Nu lapper Oracle endelig kritisk Java-hul

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Årets CIO 2026

    Andre events | Kongens Lyngby

    Årets CIO 2026

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    Digital transformation | Hellerup

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

    CISO Challenges 2026 - København

    Sikkerhed | Klampenborg

    CISO Challenges 2026 - København

    Computerworld stiller skarpt på, hvordan du som CISO eller sikkerhedsansvarlig, kan leve op til alle krav om sikkerhed og risikostyring, gennem dialog og erfaringsudveksling. Gennem både korte oplæg og rundbordsdiskussioner, vil du blive klædt på...

    Se alle vores events inden for it

    Paychex Europe

    Frontend Lead Developer for Emply at Paychex Europe

    Københavnsområdet

    Forsvaret

    IT-specialist ved Forsvarsakademiets Uddannelsescenter

    Københavnsområdet

    Danoffice IT

    Infrastructure Specialist

    Københavnsområdet

    PlanBørnefonden

    Digital Solutions Architect

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Immeo har pr. 9. marts 2026 ansat Henrik Søndergaard Andersen som Lead UX Specialist. Han kommer fra en stilling som UX Strategist og Platformsansvarlig hos Dansk Industri. Han er uddannet i Digital Design og Kommunikation fra IT Universitetet. Nyt job

    Henrik Søndergaard Andersen

    Immeo

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Nu kommer den: Om få dage lanceres Danmarks nye id-app AltID - det kommer det til at betyde for dig
    2 Microsoft klar med ny serie af pc'er designet til AI-agenter: "Den største revolution i 40 år"
    3 Skat gør klar til opgør med dyre legacy-systemer: Vil satse på særlig type systemer for at vriste sig fri af jerngreb
    4 Forsvarsministeriet har skjult vigtig information om dårlig it-sikkerhed: "Mangelfulde og modstridende oplysninger"
    5 Test: DJI's nyeste mini-drone er den bedste drone, som du kan få lige nu
    6 Nørgaard: Vi fyldes med forkerte data og facts og fordomme om datacentre i Danmark - suk
    7 Her er Microsoft Danmarks nye direktør: Hun afløser Mette Kaagaard
    8 Morgen-briefing: Dansk venturefond rejser milliardbeløb / AI-godfather: Vi kan undgå en katastrofe ved at træne AI anderledes / Innovationschef i Aarhus Kommune modtager digital frihedspris

    Se seneste uge