Artikel top billede

Sikkerhedsekspert: Tid til at omskrive Java fra bunden

Det er ved at være for sent at rette i den eksisterende kode, når hver ny opdatering introducerer nye sikkerhedshuller, mener sikkerhedsekspert.

Computerworld News Service: Lektien af det seneste sikkerhedshul i Java må det være, at tiden er inde til, at Oracle omskriver platformen.

Det mener Bogdan Botezatu, der er senior e-trusselsanalytiker hos producenten af antivirussoftware Bitdefender fra Rumænien.

Bogdan Botezatu estimerer, at op mod 100 millioner pc'er er sårbare overfor hackerangreb alene på grund af det seneste sikkerhedshul i Java, der blev opdaget i sidste uge.

Oracle har mistet kontrollen

Oracle har ifølge Botezatu mistet kontrollen over Javas kode, hvilket er grunden til, at der bliver ved at dukke alvorlige sikkerhedshuller op i softwaren.

"Oracle er nødt til at omskrive visse af Javas kernekomponenter helt fra bunden," siger han i et interview.

Problemet med modne produkter som Java og Adobe Flash er det store antal hænder, der har været i berøring med koden over en lang periode, mener han. 

"Disse produkter er blevet så store og er blevet udviklet af så mange programmører, at producenterne sandsynligvis har mistet kontrollen over, hvad produktet indeholder," vurderer Bogdan Botezatu.

Kampen mod fejlene

Sikkerhedsekspertens analyse understøttes af resultaterne af Oracles seneste arbejde med at lukke sikkerhedshuller i Java.

For eksempel lukkede Oracle tre sikkerhedshuller i august 2012 med en ny udgivelse, Java version 7 rev. 7.

Inden for få timer efter denne udgivelse fandt den polske sikkerhedsanalytiker Adam Gowdiak, der er stifter af og direktør for Security Explorations, en ny sårbarhed, som opdateringen havde introduceret.

Nogle sikkerhedseksperter hævder, at Java har udspillet sin rolle og at platformens funktioner håndteres af andre teknologier.

Platformens seneste 0-dagssårbarhed kan også spores tilbage til en fejlbehæftet opdatering, der udkom i oktober 2012.

Den opdatering introducerede den sårbarhed, der udnyttes i det exploit, der blev opdaget i sidste uge, forklarer Gowdiak.

Her er Oracles grundlæggende problem

"Dette er et godt tidspunkt at omskrive nogle af kernekomponenterne fra bunden, for at sikre at de er fejlfri, i stedet for at rette applikationen fra den ene version til den næste," vurderer Botezatu.

Bogdan Botezatu erkender dog, at det sandsynligvis ikke kommer til at ske.

"Oracle er ikke åben overfor at foretage større ændringer, da det risikerer at skabe problemer for de programmer, der i forvejen er på markedet," tilføjer han.

Her er Oracles grundlæggende problem

Oracles grundlæggende problem med den videre udvikling af Java er noget, alle softwareproducenter står overfor: Hvordan forbedrer man et program uden at ødelægge kompatibiliteten med tidligere versioner?

"Se bare på Vista og hvordan den version af Windows blev en fiasko, fordi visse kunders programmer ikke virkerede fra XP til Vista," påpeger Botezatu.

Ikke desto mindre er der noget, der tyder på, at Oracle forsøger at håndtere nogle af de problemstillinger, som Botezatu fremhæver.

I fredags offentliggjorde selskabet, at det fra og med udgivelsen af Java 8 i september vil tage en regelmæssig udgivelsesplan i brug og udrulle en ny version hvert andet år.

Hvad angår de aktuelle sikkerhedsproblemer, så anbefaler USA's Department of Homeland Security, at man slår Java fra i sin browser, hvilket kan gøres ved at følge disse instruktioner fra Oracle.

Oversat af Thomas Bøndergaard

Læs også:

Nu lapper Oracle endelig kritisk Java-hul.

Ekstremt farlig sårbarhed i Java udnyttes af hackere

Myndighed: Danskerne skal deaktivere Java nu

Kæmpe 0-dags-hul fundet i Java - din netbank i fare




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere