BankID ser nå på alternativer til Java. (Bilde: Håkon Jacobsen)

JAVA SIKKERHETSHULL

Oracle lover rask fiks av kritisk Java-feil

BankID vurderer å bytte ut Java.

IT-giganten Oracle lover en rask utbedring av den kritiske feilen i programvaren Java som finnes i de aller fleste datamaskiner og i mange sikkerhetsløsninger.

I en uttalelse fra selskapet lørdag går det fram at det ennå ikke er utviklet en løsning på sikkerhetsbristen som blant annet rammer norske bankkunder.

Mange tunge aktører innen datasikkerhet, blant dem Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter for informasjonssikring (NorSIS), har gått ut med klare advarsler.

– Vi har bedt folk om å bruke to forskjellige nettlesere og deaktivere Java eller aller helst avinstallere programmet helt i den ene av dem, sier seniorrådgiver Christian Meyer i NorSIS.

Oracle forklarer i sin uttalelse lørdag at det er det såkalte utviklerverktøyet for Java hvor sikkerhetsbristen ligger, og ikke i tilleggsprogramvaren de fleste ser når de for eksempel forsøker å logge seg inn på nettbanken sin.

Meyer mener oppfordringen om å være forsiktig likevel er helt på sin plass.

Les også: Slik tar superhackeren kontroll over telefonen din

Åpner for angrep

– Det er riktig at det ikke er noen umiddelbar sårbarhet akkurat når du åpner nettbanken din, men utviklingsprogrammet ligger også på de fleste datamaskiner og gjør den mulig å åpne for angrep utenfra, sier han.

Siden mange vanlige brukere synes problemstillingen er vanskelig, har NorSIS publisert en veiledning om hvordan Java kan deaktiveres. Siden har fått svært mange besøk de siste dagene, forteller Meyer.

– Man kan bli infisert bare ved å surfe innom en nettside. Det trenger ikke være skumle nettsider heller, det kan forekomme på helt vanlige nettsider og man har sett at det kan komme fra reklamer, sa seksjonssjef Marie Moe ved NSM til TV 2 fredag.

Les også: Slik kan hackere mørklegge Norge

Kritisk til bankene

Oracle er et av verdens største it-selskaper med 120.000 ansatte. Java finnes i om lag 3 milliarder enheter og er noe av den mest brukte programvaren selskapet har utviklet. Java brukes i alt fra telefoner og smartkort til TV-er og datamaskiner.

Sikkerhetsmiljøer over hele verden raste mot programvaregiganten fredag. Feilen som er oppdaget føyer seg inn i en rekke andre det siste året.

NorSIS er svært kritisk til bankenes avhengighet av Java.

– Jeg synes nettbankene skal vurdere andre løsninger enn Java, for når vi ser på fjorårets historie så er den grusom når det gjelder hull i sikkerheten. BankID sier det er trygt og det er jeg enig i, men jeg ville vurdert andre åpne standarder, sier Meyer.

Les også: Årets viktigste cyberkrimtrender

«Utfordrende»

BankID skriver lørdag at det er «utfordrende å være avhengig av Java når det oppstår sikkerhetshull tilsvarende det som ble oppdaget torsdag denne uken» De forteller at også i Danmark er 4 millioner bankkunder rammet av samme feil.

– Java er ikke hellig for oss, skriver selskapet på sine nettsider. De ser nå etter andre løsninger.

– Java har fungert godt lenge, men vi ser at det er mange utfordringer, både når det gjelder sikkerhet og fordi Java ikke støtter nettbrett og smarttelefoner.

Les også:

Dette risikerer du ved å lagre filer i nettskyen

To av tre selskaper utsatt for flere dataangrep

Slik ble it-administratoren lurt for 500 millioner kroner