Computerworld News Service: Lektien af det seneste sikkerhedshul i Java må det være, at tiden er inde til, at Oracle omskriver platformen.
Det mener Bogdan Botezatu, der er senior e-trusselsanalytiker hos producenten af antivirussoftware Bitdefender fra Rumænien.
Bogdan Botezatu estimerer, at op mod 100 millioner pc'er er sårbare overfor hackerangreb alene på grund af det seneste sikkerhedshul i Java, der blev opdaget i sidste uge.
Oracle har mistet kontrollen
Oracle har ifølge Botezatu mistet kontrollen over Javas kode, hvilket er grunden til, at der bliver ved at dukke alvorlige sikkerhedshuller op i softwaren.
"Oracle er nødt til at omskrive visse af Javas kernekomponenter helt fra bunden," siger han i et interview.
Problemet med modne produkter som Java og Adobe Flash er det store antal hænder, der har været i berøring med koden over en lang periode, mener han.
"Disse produkter er blevet så store og er blevet udviklet af så mange programmører, at producenterne sandsynligvis har mistet kontrollen over, hvad produktet indeholder," vurderer Bogdan Botezatu.
Kampen mod fejlene
Sikkerhedsekspertens analyse understøttes af resultaterne af Oracles seneste arbejde med at lukke sikkerhedshuller i Java.
For eksempel lukkede Oracle tre sikkerhedshuller i august 2012 med en ny udgivelse, Java version 7 rev. 7.
Inden for få timer efter denne udgivelse fandt den polske sikkerhedsanalytiker Adam Gowdiak, der er stifter af og direktør for Security Explorations, en ny sårbarhed, som opdateringen havde introduceret.
Nogle sikkerhedseksperter hævder, at Java har udspillet sin rolle og at platformens funktioner håndteres af andre teknologier.
Platformens seneste 0-dagssårbarhed kan også spores tilbage til en fejlbehæftet opdatering, der udkom i oktober 2012.
Den opdatering introducerede den sårbarhed, der udnyttes i det exploit, der blev opdaget i sidste uge, forklarer Gowdiak.
Her er Oracles grundlæggende problem
"Dette er et godt tidspunkt at omskrive nogle af kernekomponenterne fra bunden, for at sikre at de er fejlfri, i stedet for at rette applikationen fra den ene version til den næste," vurderer Botezatu.
Bogdan Botezatu erkender dog, at det sandsynligvis ikke kommer til at ske.
"Oracle er ikke åben overfor at foretage større ændringer, da det risikerer at skabe problemer for de programmer, der i forvejen er på markedet," tilføjer han.
Her er Oracles grundlæggende problem
Oracles grundlæggende problem med den videre udvikling af Java er noget, alle softwareproducenter står overfor: Hvordan forbedrer man et program uden at ødelægge kompatibiliteten med tidligere versioner?
"Se bare på Vista og hvordan den version af Windows blev en fiasko, fordi visse kunders programmer ikke virkerede fra XP til Vista," påpeger Botezatu.
Ikke desto mindre er der noget, der tyder på, at Oracle forsøger at håndtere nogle af de problemstillinger, som Botezatu fremhæver.
I fredags offentliggjorde selskabet, at det fra og med udgivelsen af Java 8 i september vil tage en regelmæssig udgivelsesplan i brug og udrulle en ny version hvert andet år.
Hvad angår de aktuelle sikkerhedsproblemer, så anbefaler USA's Department of Homeland Security, at man slår Java fra i sin browser, hvilket kan gøres ved at følge disse instruktioner fra Oracle.
Oversat af Thomas Bøndergaard
Læs også:
Nu lapper Oracle endelig kritisk Java-hul.
Ekstremt farlig sårbarhed i Java udnyttes af hackere
