Patche dla Javy powinien dostarczać Microsoft?

"Oracle powinien porozumieć się z Microsoftem i dostarczać aktualizacje dla Javy za pośrednictwem mechanizmu Windows Update" - twierdzi Wolfgang Kandek, szef działu technicznego firmy Qualys i ceniony specjalista ds. bezpieczeństwa. Jego zdaniem, to jedyny sposób na skuteczne łatanie Javy.

Kandek tłumaczy, że Oracle nie dysponuje obecnie żadnym prostym i skutecznym mechanizmem aktualizowania Javy - w większości przypadków użytkownik, który chce zainstalować nową wersję tego oprogramowania, musi sam zainicjować proces pobierania łat lub żmudnie szukać na stronie firmy odpowiednich plików instalacyjnych. "Rozwiązanie jest proste - należy zrezygnować ze stosowania wielu różnych, niekompatybilnych mechanizmów aktualizacyjnych. Oracle powinien porozumieć się z Microsoftem i dostarczać aktualizacje dla Javy za pośrednictwem Windows Update lub WSUS" - tłumaczy Kandek (WSUS to korporacyjna wersja systemu odpowiedzialnego za dystrybucję poprawek).

Przedstawiciel Qualys zwraca uwagę, że obecnie 8 na 10 komputerów PC z Windows ma zainstalowaną jakąś wersję Javy. To oznacza, że oprogramowanie to jest popularne w tym samym stopniu co np. Adobe Reader. Dane te pochodzą ze statystyk aplikacji BrowserCheck.

Ale to nie wszystko - z analiz Qualys wynika, że co najmniej a 40% komputerów z Javą nie jest zaktualizowane do najnowszej wersji i ma co najmniej jeden krytyczny błąd w zabezpieczeniach. To z kolei oznacza, że komputery z dziurawą Javą są najłatwiejszym celem dla internetowych przestępców - bo jest ich znacznie więcej niż np. maszyn z dziurawymi produktami Adobe (które też słyną z luk - ale użytkownicy częściej je aktualizują).

"Twórcy złośliwego oprogramowania przez cały czas szukają nowych sposobów na zaatakowanie komputerów PC. A ponieważ bezpieczeństwo systemów operacyjnych znacząco poprawiło się w ostatnich latach, to naturalnym jest, że przestępcy zaczęli szukać innych celów - zwykle są to popularne aplikacje zewnętrznych dostawców" - tłumaczy Kandek.

Jeszcze niedawno takimi celami były przede wszystkim programy Adobe Reader oraz Adobe Flash Player - przez ostatnie kilkanaście miesięcy to one były najczęściej atakowane. Ale Adobe w końcu wziął się za ich zabezpieczenie (niedługo ma pojawić się Reader wyposażony w tzw. sandbox), więc przestępcy znaleźli sobie inny cel - Javę.

W tym tygodniu raport na ten temat opublikował zresztą Microsoft - koncern poinformował, że od początku bieżącego roku odnotowano gwałtowne zwiększenie liczby ataków na Javę (z pół miliona w pierwszym kwartale do ponad sześciu w trzecim). Szerzej pisaliśmy o tym zjawisku w tekście "Microsoft: Liczba ataków na Javę rośnie lawinowo".

"Jeszcze kilka lat temu większość ataków skierowana była przeciwko aplikacjom z rodziny MS Office. Później przyszedł czas na produkty Adobe, a teraz obserwujemy rosnące zainteresowanie lukami w Javie. To oprogramowanie spełnia wszystkie wymogi cyberprzestępców - jest bardzo popularne, jest obecne na wielu platformach, a na dodatek ma wiele udokumentowanych luk w zabezpieczeniach i jest rzadko aktualizowane" - mówi Kandek.

Dlatego też przedstawiciel Qualys stwierdził, że dla dobra użytkowników Oracle powinien porozumieć się z Microsoftem i zacząć dystrybuować poprawki dla Javy za pośrednictwem systemu aktualizacyjnego koncernu z Redmond. "Zdaje sobie sprawę z tego, że nawiązanie takiej współpracy nie jest łatwe - ale to byłoby korzystne dla wszystkich, bo zaowocowałoby zwiększeniem bezpieczeństwa w Sieci" - podsumowuje specjalista.


Zobacz również