Tuore Java 7 –haavoittuvuus on merkittävä tietoturvariski kahdesta syystä: sitä käytetään nyt jo hyökkäyksiin, kuten esimerkiksi haittaohjelmien levittämiseen, ja haavoittuva ohjelmisto on laajalti käytössä.
Mutta kuinka laajalti? Nykyinen haavoittuvuus koskee vain Java 7 -versiota, eli jos koneessa on käytössä Java 6 tai sitä aikasempi versio, ei tämän hetken tiedon mukaan tästä haavoittuvuudesta ole harmia. Mac-käyttäjät saattavat niin ikään olla turvassa: uusien Mac-koneiden mukana ei nykyisin tule enää automaattisesti Javaa.
Java-ohjelmointikieli on alun perin tarkoitettu sellaisten sovellusten tekemiseen, joiden on tarkoitus toimia koneella kuin koneella käyttöjärjestelmästä ja alustasta riippumatta. Yksinkertaistettuna: nettikaupan lipunmyyntijärjestelmän on toimittava niin Firefoxilla kuin Internet Explorerilla, niin Macillä kuin Windowsillakin.
Tästä syystä Java-haavoittuvuudet ovat vakavia, sillä niiden kautta voidaan hyökätä useisiin eri järjestelmiin.
Java sinänsä on kuluttajalle melko tuntematon ilmiö, sillä harvoinpa kukaan tietoisesti käyttää Javaa mihinkään. Kuitenkin netissä esimerkiksi juuri lipunmyynti- tai paikanvarausjärjestelmät, jotkut selaimessa toimivat mediasoittimet tai pankkisovellukset saattavat olla Java-sovelluksia. Suomessa Sampo-pankki käyttää Java-pohjaista verkkopankkiratkaisua.
Pian haavoittuvuuden löytämisen jälkeen Viestintävirasto ja tietoturvayhtiö F-Secure neuvoivat poistamaan Javan käytöstä ainakin nettiselaimen osalta.
”Suosittelemme käyttämään Java 7:n käyttämistä vain luotettavien palvelujen yhteydessä ja vain silloin, kun sitä tarvitaan välttämättä. Onhan se vähän työlästä, mutta ennen haavoittuvuuden paikkaamista ei ole oikeastaan muutakaan keinoa”, sanoo tietoturva-asiantuntija Ari-Matti Husa CERT-FI:stä.
Java on Oracle-ohjelmistöyhtiön tuote ja yhtiö poikkeaa yleensä hyvin harvoin neljännesvuosittaisesta paikkausaikataulustaan. Näillä näkymin paikkaus olisi tulossa siis vasta lokakuussa.
”Se on pitkä aika odottaa paikkausta, etenkin kun nyt jo tiedetään, että haavoittuvuutta käytetään aktiivisesti hyväksi. Vähän jännittää, tuleeko ennen lokakuuta mitään”, Husa sanoo.
Jos kuluttaja nyt tekee työtä käskettyä ja poistaa Java 7:n selaimestaan, miten se näkyy netinkäytössä?
”Oma kokemukseni on, että se näkyy yllättävän vähän. Tavallisen kuluttajan kannalta Java ei ole välttämättömyys, ja selain kyllä ilmoittaa, jos jokin sivusto vaatii Javaa toimiakseen”, Husa sanoo.
Viestintäviraston kasaamia lisätietolinkkejä muun muassa Javan poistamiseksi tai rajoittamiseksi nettiselaimissa sekä tiedote Java-haavoittuvuudesta:http://www.cert.fi/tietoturvanyt/2012/08/ttn201208281337.html
