Kysymyksiä ja vastauksia Java-haavoittuvuudesta

Oracle Java 7 -ohjelmiston haavoittuvuus on herättänyt paljon kysymyksiä. Keräsimme tähän hiukan vastauksia niihin.

Ovatko muut Java-versiot haavoittuvia? Entäs Mac ja Linux?

Kyseinen haavoittuvuus koskee tämän hetkisen tiedon mukaan vain Oraclen Java-versiota 7. Vanhemmasta versiosta 6 ei ainakaan toistaiseksi ole julkaistu vastaavaa haavoittuvuutta. Tämä ei kuitenkaan tarkoita sitä, etteikö vanhemmassakin versiossa voisi olla hyväksikäytettäviä haavoittuvuuksia. Jos versio 6 on muuten ajan tasalla, ei sitä kannata päivittää versioon 7 ennen kuin nyt löydettyyn haavoittuvuuteen on julkaistu korjaus. Muista Java-ympäristöistä, kuten OpenJDK, ei ole löydetty vastaavaa haavoittuvuutta, mutta sekään ei tietenkään täysin takaa niiden turvallisuutta.

Haavoittuvuutta voidaan käyttää hyväksi Windows-tietokoneiden lisäksi myös Mac OS X- ja Linux-käyttöjärjestelmää käyttävissä tietokoneissa. Toistaiseksi ei kuitenkaan ole vahvistettuja havaintoja muista kuin Windows-versioon kohdistuneista hyväksikäyttöyrityksistä.

Tarvitsenko Javaa? Mitä menee rikki, jos poistan sen kokonaan?

Java-ohjelmia voi ajaa myös paikallisesti suoraan käyttöjärjestelmästä, mutta tavalliselle käyttäjälle Javan käytön riskit liittyvät useimmiten www-selainten Java-tukeen. Läheskään kaikki www-sivut eivät tarvitse Javaa. Jos sivustolla on Java-sovelmia (applets), ne eivät toimi, jos Java on kytketty pois päältä. Näitä voi olla esimerkiksi paikanvarausjärjestelmissä tai mediasoittimissa. Java-tukea vaativat sivut voivat antaa virheilmoituksen tai toimia vain osittain.

Onko Java sama asia kuin JavaScript?

Ei ole. Java-ohjelmia ajetaan Javan ajoaikaisessa ympäristössä ("virtuaalikone", "sandbox", "JRE"), kun taas JavaScriptiä ajetaan selaimessa. Nyt esillä olevat haavoittuvuudet liittyvät Javan virtuaalikoneeseen, eivät Javascript-kieleen. Molempien käytön voi kyllä estää selaimessa, mutta se täytyy tehdä erikseen. Monet sivustot tarvitsevat kunnolla toimiakseen Javascript-tukea selaimelta.

Voinko käyttää Sampo-pankin verkkopankkia ilman Javaa?

Verkkopankkiin liittyvissä asioissa suosittelemme olemaan yhteydessä suoraan pankkiin. Sampo-pankin verkkosivuilla on ohjeita Javan käytön suhteen. Pankin ohjeiden mukaan "asiakkaat voivat halutessaan asioida Java-pohjaisen verkkopankin sijaan Miniverkkopankin, Mobiilipankin tai Tabletpankin kautta".

Mistä löytyvät tarkat ohjeet Javan poistamiseksi?

Täydellisten ohjeiden kirjoittaminen jokaista selainta, pluginia, käyttöjärjestelmää ja kieltä varten on haastavaa. Yksityiskohtaisten ohjeiden sijaan toteamme, että Javan pois kytkemistä ainakin www-selaimesta kannattaa harkita. Tarkemmat ohjeet riippuvat käytetyistä ohjelmistoista ja käyttöjärjestelmästä.Tässä kuitenkin joitakin linkkejä englanninkielisiin ohjeisiin Javan poistamiseksi käytöstä yleisimmin käytetyistä ympäristöistä:

Internet Explorer -selaimen asetukset ovat melko monimutkaisia, joten helpompaa voi olla poistaa Java kokonaan tietokoneesta Windowsin ohjauspaneelin kautta.

Firefox-selaimen asetuksista voi poistaa Java-sovellusten suorittamisoikeudet. Suomenkieliset ohjeet: Java-sovelmien poistaminen käytöstä

Chrome-selaimen plugin-lisäosien hallintaan pääsee kirjoittamalla osoiteriville chrome://plugins/

Apple Safari -selaimen turvallisuusasetuksissa on myös kohta Java-sovelluksia varten.

Voinko tehdä muuta kuin poistaa Java 7:n selaimesta tai tietokoneelta?

Java-sovellusten ja muun aktiivisen sisällön suorittamisen hallintaan on olemassa työkaluja, jotka asennetaan lisäosina selaimeen. Yksi tällainen on Firefox-selaimeen saatavilla oleva NoScript. Sen avulla käyttäjä voi erikseen sallia Javan tai JavaScriptin suorittamisen sivukohtaisesti.

Jos Javan käyttö on oleellista käyttämiesi palveluiden toimivuudelle, kannattaa harkita toisen selaimen käyttämistä ainakin sen aikaa kunnes korjaava ohjelmistopäivitys on saatavilla. Kahden selaimen taktiikalla voit poistaa toisesta selaimesta Javan 7:n käytöstä ja toisella käyttää palveluita, jotka tarvitsevat Javan toimiakseen.

Miksi ohjeet ovat vain Facebookissa?

Facebook ei ole CERT-FI:n varsinainen tiedotuskanava, vaan enemmänkin paikka tietoturva-aiheiselle keskustelulle. Varsinaiset ohjeet julkaisemme tällä sivustolla.

Mitä pahuutta Java-haavoittuvuuden kautta sitten on luvassa?

Java-haavoittuvuuden kautta voi tarttua samoja haittaohjelmia kuin muutenkin, paikkaamaton Java-haavoittuvuus on houkutteleva levitysmahdollisuus haittaohjelmien tekijöille. Haavoittuvuutta on jo käytetty hyväksi pankkiyhteyksiä kaappaavien haittaohjelmien levittämiseen. Tartuntayrityksiä voi tulla vastaan murrettujen www-sivustojen tai mainosbannerien jakelujärjestelmien kautta. Virustorjuntaohjelmat eivät välttämättä tunnista kaikkia uusimpia haittaohjelmaversioita. Tartuntayritys voi tulla asiallisellakin sivustolla vieraillessa. Esimerkiksi Suomessa on havaittu syksyn aikana laajamittainen www-hotellipalveluiden tietomurto, jonka yhteydessä on päästy lisäämään haitallista ohjelmakoodia huomattavalle joukolle täysin asiallisia sivustoja.

[Päivitetty 11.1.2013]

- Muutettu lisätietojen sampopankki.fi linkki danskebank.fi:ksi. Lisätty linkki Firefoxin suomenkieliseen ohjeeseen.

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248