Slut med “malware” fra Java

Når man installerer Java, så spørges man hver eneste gang om man ikke lige har lyst til at få installeret noget ekstra på sin maskine. Det har ofte været “Ask Toolbar’en”, som udover at installere selve toolbaren også lige ændrede startsiden i din browser og standard søgemaskinen i browseren, og problemet har været, at dette “tilbud” om lige at få installeret noget ekstra sammen med en java sikkerhedsopdatering, som udgangspunkt var valgt til.

Har du brug for Java?

Man har i praksis tidligere været mere eller mindre tvunget til at installere Java på sin maskine, da NemID krævede dette. Det er dog ved at være slut idet Nets har lanceret en Javascript-version af NemID, som mange af de steder, der benytter NemID er ved at implementere (eller allerede har implementeret).

Hvis du stadigt har brug for Java…

Hvis du fortsat har brug for Java (og kører Windows) så er der nu med Java 7 update 65 (som i skrivende stund er den nyeste version) hjælp at hente. I Windows’ kontrolpanel kan du nu finde Java Control Panel og inde i dette under “Avanced” fanebladet kan du finde en indstilling, der hedder Suppress sponsor offers when updating Java. Den er ikke slået til som standard, men slår du den til, så burde du ikke længere risikere at blive generet af en masse software, som du ikke har brug for i forbindelse med installation af java.

JavaControlPanelSuppressSponsorOffers

Opdater din pc

Der er kommet mange opdateringer i dag, hvis du alligevel sidder ved computeren, når du læser dette, så er det tid til at opdatere.

Opdater Windows

Microsoft har sluppet denne måneds opdateringer løs – de kommer fast den anden tirsdag i måneden, og der er en del vigtige opdateringer med i denne måneds pakke. Den får du via windows update.

Advarsel mod “Crapware”!

Inden du kommer til de næste to opdateringer, så er det på sin plads lige at advare mod Crapware. Crapware er en fælles betegnelse for skrammel, der installeres på din maskine uden du er interesseret i det. Når du skal downloade opdateringer, så tilbydes du lige, om du ikke også vil have en toolbar til din browser, mcafee virus scanner eller andet skrammel,
og hvis du ikke sørger for at fravælge det – lige som du forhåbentligt har gjort ved tidligere lejligheder, så installeres det på din maskine – og dem, der lavede opdateringen du
havde brug for, tjener penge på at have lokket dig til at installere det.

Java

Når Windows er opdateret, er det næste du bør opdatere Java. Den finder du på Java.com. Du bør opdatere til Java 7 Update 51, som indeholder 36 sikkerhedsrettelser.
Nets har denne gang lovet, at de har testet, at den virker med NemID (for lad os nu blot konstatere, at det – for de fleste af os – er den absolut eneste grund til at vi er tvunget til at have java installeret).

Flash

Når du har fået opdateret windows og java, så er næste ting, der lige skal opdateres Adobe Flash. Bemærk at Adobe er rigtigt slemme til at lokke dig til at installere
crapware (se ovenfor) så husk at vælge det fra, når du installerer

Slutteligt…

Der er kommet mange andre opdateringer her i Januar, så det er næsten umuligt at nævne dem alle. Der er dog hjælp at hente, hvis du er på Windows. Her kan du installere Secunia PSI, som hjælper dig med at finde ud af om der er kommet opdateringer til den software du har installeret på din maskine.

Firefox, Java og NemID

java-logo-smallI sidste uge opstod der et interessant problem – Oracle, der står bag Java fri gav en sikkerhedsopdatering med 51 opdateringer, hvoraf de 50 af dem angiveligt kunne udnyttes “remote” – dvs. det krævede ikke end gang, at den, der ville misbruge sikkerhedshullet havde fysisk adgang til maskinen, men blot at de kunne lokke en bruger til at besøge en (web)side, der fik lov at køre lidt java-kode, som udnyttede hullet.

Lang de fleste skyndte sig forhåbentlig at opdatere, men specielt i Danmark, hvor vi har “nemID” var der desværre et problem – NemID virkede  ikke med den opdaterede version af Java, og man fik så valget mellem at blive afskåret fra netbank, e-boks og digital adgang til det offentlige danmark eller en sikkerhedsopdateret maskine.

firefox-logo_smallHvis du benytter Firefox browseren, så har udviklerne bag den i øvrigt også erkendt, at Java har givet anledning til mange sikkerhedsproblemer, og fra og med version 24 (den i skrivende stund aktuelle version) begynder de at blokere for Java, og kræve brugeren godkender brugen af Java – hver eneste gang.

Selvom det ud fra et sikkerhedssynspunkt er en god ide at blokere/advare om Java, så er det ikke noget, der fremmer “brugervenligheden”, for dem, der benytter firefox, at de nu hver eneste gang de vil i netbank eller benytte andre steder, der kræver nemID nu skal konfronteres med en sikkerhedsadvarsel.

Er du en af dem, så tag det roligt. Det er er som sådan ikke (pludseligt) blevet mere usikkert at benytte Java, end det tidligere var – Firefox har blot besluttet at skærpe advarslerne mod Java generelt.

Det aktuelle problem med NemID blev heldigvis løst i lørdags, så man kunne opdatere sin maskine uden at miste adgangen til NemID.  NemID da også lovet – for et svimlende beløb – at lave et teknologi skift, så de fremover ikke er afhængig af Java (og nemID begynder at virke på tablets, mobiltelefoner og andre steder, hvor Java ikke findes/virker.

Hvis du vil checke at du har den seneste version af Java, så kan du gøre det på http://java.com/verify.

Sikkerhed og Java

Vi bruger efterhånden Internet (og IT-systemer generelt) til rigtigt mange kritiske ting, og som følge heraf syntes det også at blive stadigt mere attraktivt at finde sikkerhedshuller og udnytte disse.

Det seneste store hul, der blev fundet, var i Java (7), og det var et gumt sikkerhedshul, der endda virkede på tværs af Windows, Mac og Linux (såfrem man kørte med nyeste version af Java). Det er et såkaldt “Zero day” hul – det vil sige, at det er opdaget ved at nogle udnyttede det. Computerworld beretter dog, at det rygtes, at Oracle (der leverer Java) kendte til hullet månedsvis uden dog at levere en opdatering, der lukkede det.

Generelt har anbefalingen i de internationale medier været, at man blot burde afinstallere og fjerne Java, hvis man ikke havde brug for det. En af årsagerne til denne anbefaling var blandt andet at de værktøjer, som findes til at (nemt) udnytte sikkerhedshuller, allerede var blevet opdateret, så de også kunnne misbruge dette seneste hul. Der var med andre ord god grund til at tro, at mange ville blive ramt af digitale angreb, som en direkte følge af Java problemet.

Det er måske meget fint, for alle uden for Danmark, men desværre har vores alle sammens NemID, der bruges til NetBanker, e-Boks, den offentlige digitale verden og andre steder, valgt at bygge hele deres løsning på Java, og deres anbefalinger omkring sikkerhedsissues tangerer det tragi-komiske.

Hullet har været kendt en uges tid, og frem til i dag, har der været radiodødt fra Oracle’s side. Det er sjældent et godt tegn, da det typisk betyder, at Oracle holder fast i deres plan om kun at opdatere Java 3 gange om året. Næste planlagte opdatering var først den 16. oktober. Der har heldigvis været tilstrækkelig kritik og mediestorm omkring emnet, at Oracle i dag har frigivet en opdatering, der lukker hullet. Tak.