Kritisk Java-oppdatering sluppet

En større pakke med oppdateringer til Java er nå sluppet. En av tettingene er mot en lekkasje Java åpner i kombinasjon med SSL-kryptering.

I forrige måned ble det vist en metode for å kunne lytte inn på kryptert nettverkssamband med SSL/TLS-trafikk. Dette var ikke en svakhet i nettrafikk-kryptering i seg selv, men i visse varianter av løsninger der SSL-kryptering var tatt i bruk. Blant annet gjelder dette for Java.

Innbruddsmuligheten er døpt BEAST, som står for «Browser Exploit Against SSL/TLS». Muligheten for å gjøre dette har i teorien vært mulig en stund, men først nå er det demonstrert hvordan, og under hvilke forhold. Det er en sårbarhet i innpluggingsmodulen til Java i nettleseren som gjør dette mulig.

Beistet er ikke verst

Til tross for omfattende følger er ikke BEAST-tettingen viktigst i denne oppdateringen. Minst fem sårbarheter er karakterisert som maksimalt kritiske, og en annen svakhet i SSL/TLS som tettes anses å være viktigere.

Tetting av BEAST har likevel hatt høy prioritet. Det ble virkelig fart i sakene da Mozilla og Firefox truet med å forby bruk av Java i deres nettleser. Dette hadde imidlertid hatt vanvittig omfattende følger for svært mange applikasjoner som kjører i nettleseren. Blant annet hadde det rammet de fleste nettbankløsninger i bruk.

Grunnlaget modent for oppgradering

Tettingen av Java er dessverre ikke en totalløsning. Det finnes andre løsninger som bruker SSL-kryptering som har samme svakhet i hvordan krypteringen er tatt i bruk. Disse løsningene må tettes for seg.

Totalløsningen er å skifte hele den sikre transportprotokollen for internett fra SSL eller TLS 1.0 til TLS versjon 1.1. Denne fem år gammel t varianten av TLS tillater ikke denne svakheten. Men med trøbbelet med å få internett til å ta i bruk IPv6 friskt i minne er det sannsynligvis enklere å gjete kongens harer enn å få til en endring av TLS i en fei.