Vi bruger efterhånden Internet (og IT-systemer generelt) til rigtigt mange kritiske ting, og som følge heraf syntes det også at blive stadigt mere attraktivt at finde sikkerhedshuller og udnytte disse.
Det seneste store hul, der blev fundet, var i Java (7), og det var et gumt sikkerhedshul, der endda virkede på tværs af Windows, Mac og Linux (såfrem man kørte med nyeste version af Java). Det er et såkaldt “Zero day” hul - det vil sige, at det er opdaget ved at nogle udnyttede det. Computerworld beretter dog, at det rygtes, at Oracle (der leverer Java) kendte til hullet månedsvis uden dog at levere en opdatering, der lukkede det.
Generelt har anbefalingen i de internationale medier været, at man blot burde afinstallere og fjerne Java, hvis man ikke havde brug for det. En af årsagerne til denne anbefaling var blandt andet at de værktøjer, som findes til at (nemt) udnytte sikkerhedshuller, allerede var blevet opdateret, så de også kunnne misbruge dette seneste hul. Der var med andre ord god grund til at tro, at mange ville blive ramt af digitale angreb, som en direkte følge af Java problemet.
Det er måske meget fint, for alle uden for Danmark, men desværre har vores alle sammens NemID, der bruges til NetBanker, e-Boks, den offentlige digitale verden og andre steder, valgt at bygge hele deres løsning på Java, og deres anbefalinger omkring sikkerhedsissues tangerer det tragi-komiske.
Hullet har været kendt en uges tid, og frem til i dag, har der været radiodødt fra Oracle’s side. Det er sjældent et godt tegn, da det typisk betyder, at Oracle holder fast i deres plan om kun at opdatere Java 3 gange om året. Næste planlagte opdatering var først den 16. oktober. Der har heldigvis været tilstrækkelig kritik og mediestorm omkring emnet, at Oracle i dag har frigivet en opdatering, der lukker hullet. Tak.
