Artikel top billede

Sikkerhedsekspert: Tid til at omskrive Java fra bunden

Det er ved at være for sent at rette i den eksisterende kode, når hver ny opdatering introducerer nye sikkerhedshuller, mener sikkerhedsekspert.

Computerworld News Service: Lektien af det seneste sikkerhedshul i Java må det være, at tiden er inde til, at Oracle omskriver platformen.

Det mener Bogdan Botezatu, der er senior e-trusselsanalytiker hos producenten af antivirussoftware Bitdefender fra Rumænien.

Bogdan Botezatu estimerer, at op mod 100 millioner pc'er er sårbare overfor hackerangreb alene på grund af det seneste sikkerhedshul i Java, der blev opdaget i sidste uge.

Oracle har mistet kontrollen

Oracle har ifølge Botezatu mistet kontrollen over Javas kode, hvilket er grunden til, at der bliver ved at dukke alvorlige sikkerhedshuller op i softwaren.

"Oracle er nødt til at omskrive visse af Javas kernekomponenter helt fra bunden," siger han i et interview.

Problemet med modne produkter som Java og Adobe Flash er det store antal hænder, der har været i berøring med koden over en lang periode, mener han. 

"Disse produkter er blevet så store og er blevet udviklet af så mange programmører, at producenterne sandsynligvis har mistet kontrollen over, hvad produktet indeholder," vurderer Bogdan Botezatu.

Kampen mod fejlene

Sikkerhedsekspertens analyse understøttes af resultaterne af Oracles seneste arbejde med at lukke sikkerhedshuller i Java.

For eksempel lukkede Oracle tre sikkerhedshuller i august 2012 med en ny udgivelse, Java version 7 rev. 7.

Inden for få timer efter denne udgivelse fandt den polske sikkerhedsanalytiker Adam Gowdiak, der er stifter af og direktør for Security Explorations, en ny sårbarhed, som opdateringen havde introduceret.

Nogle sikkerhedseksperter hævder, at Java har udspillet sin rolle og at platformens funktioner håndteres af andre teknologier.

Platformens seneste 0-dagssårbarhed kan også spores tilbage til en fejlbehæftet opdatering, der udkom i oktober 2012.

Den opdatering introducerede den sårbarhed, der udnyttes i det exploit, der blev opdaget i sidste uge, forklarer Gowdiak.

Her er Oracles grundlæggende problem

"Dette er et godt tidspunkt at omskrive nogle af kernekomponenterne fra bunden, for at sikre at de er fejlfri, i stedet for at rette applikationen fra den ene version til den næste," vurderer Botezatu.

Bogdan Botezatu erkender dog, at det sandsynligvis ikke kommer til at ske.

"Oracle er ikke åben overfor at foretage større ændringer, da det risikerer at skabe problemer for de programmer, der i forvejen er på markedet," tilføjer han.

Her er Oracles grundlæggende problem

Oracles grundlæggende problem med den videre udvikling af Java er noget, alle softwareproducenter står overfor: Hvordan forbedrer man et program uden at ødelægge kompatibiliteten med tidligere versioner?

"Se bare på Vista og hvordan den version af Windows blev en fiasko, fordi visse kunders programmer ikke virkerede fra XP til Vista," påpeger Botezatu.

Ikke desto mindre er der noget, der tyder på, at Oracle forsøger at håndtere nogle af de problemstillinger, som Botezatu fremhæver.

I fredags offentliggjorde selskabet, at det fra og med udgivelsen af Java 8 i september vil tage en regelmæssig udgivelsesplan i brug og udrulle en ny version hvert andet år.

Hvad angår de aktuelle sikkerhedsproblemer, så anbefaler USA's Department of Homeland Security, at man slår Java fra i sin browser, hvilket kan gøres ved at følge disse instruktioner fra Oracle.

Oversat af Thomas Bøndergaard

Læs også:

Nu lapper Oracle endelig kritisk Java-hul.

Ekstremt farlig sårbarhed i Java udnyttes af hackere

Myndighed: Danskerne skal deaktivere Java nu

Kæmpe 0-dags-hul fundet i Java - din netbank i fare




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere