Volgens Bitdefender waren maar liefst 100 miljoen pc's kwetsbaar voor hackers door een nieuw beveiligingslek in Java 7. Dit lek, een zogenaamd zero-day gat, werd de afgelopen week ontdekt. Oracle heeft een patch uitgebracht.
Door het zero-day gat konden aanvallers via een malafide website Trojans plaatsen, schadelijke software installeren en drive-by's uitvoeren bij slachtoffers die Java hadden ingeschakeld in hun browser. Oracle heeft een patch uitgebracht die dit zero-day gat moet oplossen, maar beveiligingsexperts zijn er niet gerust op dat Java nu veilig is. Zij adviseren om geen Java te gebruiken als het niet noodzakelijk is.
De update kan worden geïnstalleerd via het Java Control Panel. Daar kan ook Java content in de browser worden uitgeschakeld. Geadviseerd wordt om dit meteen te doen. Op de website Java.com staat een stappenplan. Mocht je toch Java in nodig hebben voor een bepaalde website, dan kun je deze site het beste bezoeken met een tweede browser die je gebruikt naast de standaard browser.
Herschrijven
Bitdefender stelt dat het tijd is dat Oracle de programmeertaal volledig gaat herschrijven. Volgens de online beveiligingsexpert Bogdan Botezatu van Bitdefender heeft Oracle geen grip meer op de Java-code. Daardoor verschijnen steeds weer opnieuw ernstige beveiligingslekken. Oracle zal een aantal kerncomponenten van Java volledig moet herschrijven. De eigenaar van Java kan beter nieuwe bugvrije componenten schrijven dan steeds weer een nieuwe patch uitbrengen voor de programmeertaal, aldus Botezatu.
Herschrijven van Java is echter hoogst waarschijnlijk geen optie voor Oracle omdat daarmee applicaties ten onder zullen gaan die al in de markt zijn gezet. Het bedrijf zal daarom zijn programma willen verbeteren zonder de compatibiliteit met voorgaande versies in gevaar te brengen. Wel is Oracle van plan om iedere twee jaar een nieuwe versie van Java uit te brengen. Aanstaande september wordt Java 8 verwacht.
Het probleem van volwassen producten als Java en producten van Adobe is dat de achterliggende code door vele handen is geschreven. Deze producten zijn zo groot en door zoveel programmeurs ontwikkeld dat de softwaremakers het overzicht zijn kwijtgeraakt over wat er in precies inzit, aldus Botezatu.
In augustus 2012 had Oracle een patch uitgebracht voor drie beveiligingslekken in Java. Binnen een paar uur werd er alweer een kwetsbaarheid gevonden die door de update zelf werd veroorzaakt. Het beveiligingslek dat afgelopen week werd gevonden is volgens de Poolse beveiligingsonderzoeker Adam Gowdiak van Security Explorations veroorzaakt door een onvolledige patch die afgelopen oktober werd uitgebracht.