Oracle oppdaterer Java

[panther]

Det mye omtalte sikkerhetshullet i Java, som førte til at Apple valgte å blokkere alle versjoner av Java i Safari, er nå rettet.

I Java 7 versjon 11 har Oracle tettet dette hullet og programvaren fungerer igjen på OS X. Hvis du benytter BankID anbefales det at du installerer denne umiddelbart slik at du igjen får tilgang til BankID.

Du kan laste ned Java 7 versjon 11 til OS X fra Java.com. Denne vil erstatte alle tidligere versjoner av Java installert på din Mac og versjon 11 av Java har tettet det kritiske sikkerhetshullet som ble oppdaget i forrige uke. Versjon 11 er ikke blokkert i Xprotect av Apple.



Selv om Java nå er oppdatert, har programvaren en særdeles dårlig historikk hva gjelder sikkerhetshull. Vi må ikke lengre tilbake enn 2012 for å se at den største spredningen av malware i OS X noensinne stammet fra blant annet Java. Over 600 000 Macer skal angivelig ha blitt rammet av «Flashback» og et ligneden sikkerhetshull i Java var en av årsakene til at såpass mange ble rammet.

Hvis din bank har andre påloggingsmuligheter utenfor BankID er det ikke så dumt å aktivere disse nå for å unngå bruk av Java og BankID i fremtiden.

Det kan også være verdt å sjekke om banken din støtter BankID på mobil hvis du har en iPad eller iPhone ettersom dette fungerer uten bruk av Java. Apple tillater ikke Java på iOS av sikkerhetsmessige årsaker.

[mteinum]

I følge reuters:

Adam Gowdiak, a researcher with Poland's Security Explorations who has discovered several bugs in the software over the past year, said that the update from Oracle leaves unfixed several critical security flaws.

"We don't dare to tell users that it's safe to enable Java again," said Gowdiak.

Some security consultants are advising businesses to remove Java from the browsers of all employees except for those who absolutely need to use the technology for critical business purposes.

HD Moore, chief security officer with Rapid7, a company that helps businesses identify critical security vulnerabilities in their networks, said it could take two years for Oracle to fix all the security bugs that have currently been identified in the version of Java that is used for surfing the Web.

"The safest thing to do at this point is just assume that Java is always going to be vulnerable. Folks don't really need Java on their desktop," Moore said.

An Oracle spokeswoman declined to comment.

http://www.reuters.com/article/2013/01/ ... e-security

[o.m.]

Jeg har for tiden deaktivert Java i nettleseren jeg bruker til alt utenom nettbank - Google Chrome, etter den siste tids hendelser. Bruker i utgangspunktet kun Safari til nettbank, da Bank-ID er eneste innloggingsmulighet.

Hvis jeg nå oppdaterer Java, vil jeg da miste tilgangen til Java permanent i Google Chrome? Det legger endel begrensninger på en rekke nettsider (Gmail, Ebay++)

[petrus764]

Selv om Java nå er oppdatert, har programvaren en særdeles dårlig historikk hva gjelder sikkerhetshull. Vi må ikke lengre tilbake enn 2012 for å se at den største spredningen av malware i OS X noensinne stammet fra blant annet Java. Over 600 000 Macer skal angivelig ha blitt rammet av «Flashback» og et ligneden sikkerhetshull i Java var en av årsakene til at såpass mange ble rammet.

Vel og merke ble det sikkerhetshullet tettet av Oracle før det ble utnyttet i stor grad på nettet. Det var Apples feil ene og alene ved at de ikke patchet Java i tide siden det tidligere var Apple som sto for distribusjon av Java til OSX. Windows og Linux-brukere ble i liten grad affektert siden de hadde tilgang til oppdateringen straks den var tilgjengelig fra Oracle.

Jeg har for tiden deaktivert Java i nettleseren jeg bruker til alt utenom nettbank - Google Chrome, etter den siste tids hendelser. Bruker i utgangspunktet kun Safari til nettbank, da Bank-ID er eneste innloggingsmulighet.

Hvis jeg nå oppdaterer Java, vil jeg da miste tilgangen til Java permanent i Google Chrome? Det legger endel begrensninger på en rekke nettsider (Gmail, Ebay++)

Høres ut som du blander Java og JavaScript. Java 7 fungerer kun i 64-bits-nettlesere, dvs Safari, Firefox og Opera. Chrome er 32-bit og støtter derav ikke Java 7 på OSX.
JavaScript derimot brukes flittig, men det har til tross for navnet å gjøre, ingenting med Java.

Gmail, Ebay og lignende bruker ikke Java til noe som helst, det er javascript og brukes til å lage interaktive og dynamiske nettsider. Det eneste norske nettbrukere i dag i stor grad bruker java til er nettbank/bankid.

[Handsome Mac]

Eh... Jeg kjører OSX 10.6.8 på min Mac Pro. Gjelder denne oppdateringen for meg...?(Står jo 10.7.2 and below hos Oracle, men jeg får ikke opp nedlastnings-knappen og i Software Update får jeg ingen tilgjengelig oppdatering)

[petrus764]

Nei, for å laste ned java fra Oracle må du ha 10.7 eller 10.8.

[Handsome Mac]

Så da er jeg "safe", da..? Blir litt moron av dettan...

[petrus764]

Nei, for Java 6 er også berørt og med mindre Apple slipper en oppdatering (vet ikke om de gjør det engang lenger) er du så absolutt ikke safe.



Er det noen spesiell grunn til at du fremdeles kjører 10.6? Med mindre du sitter på en core duo-maskin eller er veldig avhengig av PPC-programvare er det ingen grunn til å ikke oppdatere.

[Handsome Mac]

Sitter med en Adobe CS3-pakke som ikke fungerer optimalt med OSX 10.7. Kun derfor:)

[petrus764]

Jeg skjønner, vel da må du nesten velge mellom å være sikker på nett, eller å bruke litt penger på ny programvare (og samtidig få en mye bedre pakke, CS6 er langt bedre enn CS3) og samtidig nyte fordelene med 10.8 og java 7.

Spør du meg så er det verdt det, men hvis du benytter CS-pakken i bedriftssammenheng så koster det jo en del å oppgradere. Er du student derimot, får du det billig.

[Handsome Mac]

Tja, det koster jo noen kroner å oppdatere til CS6. Tenker jeg bruker Safari med avslått Java til nettsurfing og Firefox til nettbank inntil videre. Nytt brukermønsterja, men blir vel vant til det med tiden...

[TorsteinO]

@petrus

Vel og merke ble det sikkerhetshullet tettet av Oracle før det ble utnyttet i stor grad på nettet. Det var Apples feil ene og alene ved at de ikke patchet Java i tide siden det tidligere var Apple som sto for distribusjon av Java til OSX. Windows og Linux-brukere ble i liten grad affektert siden de hadde tilgang til oppdateringen straks den var tilgjengelig fra Oracle.

det var da i 2011 apple slutta å legge med java:

Apple stopped bundling Java with OS X starting with 2011's Lion; this year's Mountain Lion also omitted Java. The Cupertino, Calif. company is still responsible for patching Java 6 and earlier, but Oracle takes care of OS X users running Java 7.

(http://www.computerworld.com/s/article/ ... _most_Macs)

Så alle som hadde oppdatert versjon av osx hadde oracles egen distribusjon av java

[petrus764]

Nei, det er to prosesser her.

Den du snakker om er java preinstallert i OSX når man kjøper en ny Mac. Dvs. at Java allerede er installert ved første oppstart. Det er ikke det vi snakker om her.

Apple sto for distribusjon av Java frem til August 2012. Dvs, at hvis du ville ha Java på din PC var det Apple du lastet ned programtillegget fra og det var Apple som sto for å sørge for at Java var oppdatert på OSX.

Det var ikke før 14. August i fjor (altså 2012) at man kunne laste ned Java 7 for OSX fra Oracle direkte.

http://www.macrumors.com/2012/08/14/ora ... -for-os-x/

Det står jo også i sitatet ditt at apple fremdeles er ansvarlig for å oppdatere Java 6 som var gjeldene frem til java 7 ble lansert i 2012. Hvis jeg ikke husker feil begynte ikke Oracle å tilby java 7 til forbrukere på java.com før u05 eller u06, altså mer eller mindre samtidig som Java 7 ble tilgjengelig for OSX.

Faktisk kan du vel fremdeles hente ned Java 6 fra Apple hvis jeg ikke tar feil, men for noen uker siden fjernet de nettleser-programtillegget, slik at man ikke kan bruke Java 6-plugin i nettleseren, men vil du utvikle til Java 6 eller kjøre Java 6-programmer på din Mac er det fullt mulig.

Som sagt, Apple var i aller høyeste grad ansvarlig for at Java for OSX ikke ble patchet før Flashback-trojaneren fikk spredd seg i så stor grad. Oracle hadde for lengst patchet andre systemer med Apple var notorisk trege (noe de alltid var) med å oppdatere Java for OSX-brukere.

[Lillianw83]

Har oppdatert men får fortsatt ikke til å logge meg inn på DNB.
Hjelp?

[bohdi]

Mao - dersom ein har 10.6.8 får ein ikkje oppdatert Java til 7. Lurer på kva nettbankane ville sagt til dette dersom dei VISSTE det?

Dette betyr i klartekst at dersom ein har ein eldre vesjon av OSet, så KAN ein ikkje vere trygg?

Herrejeremin for tulleopplegg. Forsåvidt frå alle hold, både Apple (som styrer som dei vil, som vanleg) og frå nettbank-gjengen - som krever noko som mange brukarar ikkje KAN om dei så endeleg VIL installere.