Inrikes

Experter varnar för att använda Java

Uppdaterad
Publicerad

Säkerhetsexperter varnar för användning av datorprogrammet Java. En allvarlig säkerhetsbrist har upptäckts och datoranvändare uppmanas att stänga av funktionen.

Under torsdagen gick USA:s departement för inrikes säkerhet ut med en varning för en säkerhetslucka i datorprogrammet Java. Programmet, som oftast används som insticksprogram i webbläsare, är enligt departementet så allvarligt att datorsurfare helt bör sluta använda programmet.

Det handlar om Java 7 (update 10) Enligt det amerikanska departementets säkerhetsgrupp finns för närvarande ingen känd lösning på problemet.

I Sverige har Myndigheten för Samhällsskydd och beredskap (MSB) rekommenderar surfare att inaktivera Java i webbläsaren. I ett pressmeddelande skriver man hur detta görs i olika webbläsare. 

– Vi bedömer att man måste vara väldigt försiktig. Det här är en farlig sårbarhet, säger Jonas Thambert säkerhetsrådgivare på Cert.se, en grupp på MSB som ska skydda svenska it-intressen.

Jonas Thambert rekommenderar att man bara tillåter Java på sajter man absolut måste gå in på och som man anser säkra. Det kan till exempel handla om Skatteverket och Försäkringskassan.

Om man stänger av programmet kan vissa sajter förlora viss funktionalitet.

– Men grundfunktionerna på många sajter fungerar ändå. Det där får man själv testa på sin dator, säger Jonas Thambert.

”Stor spridning”

Java körs i över 800 miljoner persondatorer och även i mobila enheter och tv-apparater. Den senaste varningen om säkerhetshål i programmet är inte en isolerad händelse. Under hösten har flera rapporter om säkerhetshål dykt upp.

Hackers och brottslingar attackerar ofta de produkter som är mest spridda. Därför kan säkerhetshål i Java få allvarliga konsekvenser.

För privatpersoner kan det handla om att få sina datorer kapade och för företag kan det handla om intrång och till exempel leda till att företagshemligheter hamnar i orätta händer.

Experter i Sverige bekräftar säkerhetsbristen och rekommenderar användare att stänga av javafunktionen på sina webbläsare.

”Klarar sig utan Java”

Säkerhetsexperten Tomas Djurling menar att en vanlig internetanvändare i dag klarar sig bra utan att aktivera Java i webbläsaren.

– Själv kör jag en äldre version av Java och uppgraderar inte till den senaste.

Java utvecklades av Sun Microsystems  och köptes sedan av Kalifornienbaserade Oracle. Datorföretaget har ännu inte kommenterat uppgifterna.

Just Oracles köp av Java tror Tomas Djurling är ett av problemen kring säkerhetshålen i programmet.

– Oracle har nog inte tillåtit sina programmerare att sätta in sig i programmet. Dom har gasat på och inte hunnit göra ett ordentligt förarbete. Det här kommer att orsaka problem långt in i framtiden.

Tomas Djurling menar också att Oracle historiskt varit dåliga på att åtgärda säkerhetsproblem i sin mjukvara inom rimlig tid.

Så stänger du av Java

  • Inaktivera insticks-Java om det är möjligt. I dagsläget är det få webbplatser som använder Java-applets varför de flesta klarar sig utan insticks-Java.
  • I Java 7 Update 10, som är den senaste versionen, går det att slå av insticka-Java globalt i Java-konsolen. Detta är den smidigaste metoden eftersom då behövs insticks-Java inte slås av för varje webbläsare.
  • Följande webbplats kan användas för att kontrollera om insticks-Java är inaktiverad.
  • För att slå av insticks-Java separat för varje webbläsare kan följande guider användas.
  • Eller kan installerade insticksprogram listas i webbläsaren med möjlighet att inaktivera Java:
  • Google Chrome: Skriv chrome://plugins/ i URL-raden
  • Microsoft Internet Explorer: Tools – Manage add-ons :: Ändra listboxen: Show – All add-ons
  • Mozilla Firefox: Tools – Add-ons :: Gå till Plugins-fliken
  • Safari: Gå till inställningar/säkerhet. Avmarkera rutan Aktivera Java.  
  • Om insticks-Java krävs kan följande göras: Använd flera webbläsare. En för ”mängdsurfande”, en där Java-applets kan köras och en för inloggade sessioner. Ett annat alternativ är att blockera JavaScript och Java-applets, till exempel med NoScript. Att surfa i ett virtualiserat OS är ett ytterligare alternativ, exempelvis kan VirtualBox eller VMware användas.  
  • Observera att det endast är insticks-Java som är ett säkerhetsproblem, dvs insticksprogrammet till webbläsaren som gör det möjligt att köra Java-applets. Java-applikationer är inte exponerade på samma sätt och är inte en infektionsvektor. Många populära applikationer använder Java, exempelvis Minecraft och DbVisualizer. Avinstallera alltså inte Java utan inaktivera endast insticks-Java.

Källa: Cert.se

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.