Expert: Java by měla být aktualizována prostřednictvím služeb Microsoftu

K tomuto závěru dospěl Wolfgang Kandek, CTO bezpečnostní společnosti Qualys, podle něhož by společnosti jako je právě Oracle měly s Microsoftem na šíření záplat spolupracovat, neboť zranitelná Java ohrožuje celý operační systém a jde podle něj o způsob, jak výrazně zvýšit šanci, že uživatelé potřebné záplaty nainstalují. Podobně to dělá např. Apple, který bezpečnostní záplaty pro Javu distribuuje v rámci aktualizační služby pro Mac OS X.

K distribuci by mohly byt využívány služby Windows Update nebo pro podniky určené WSUS (Windows Server Update Services). Podle průzkumu společnosti Qualys je Java nainstalovaná na zhruba 80 % počítačů s OS Windows, díky čemuž je Java populární podobně jako např. Reader od Adobe. Průzkum ale také ukázal, že na 40 % počítačů běží zastaralá verze Javy, která obsahuje alespoň jednu kritickou zranitelnost. Navíc uživatelé na aktualizaci Javy často hřeší a větší šanci na aktualizaci má například již zmíněný Adobe Reader či Flash, o jejichž zranitelnostech se častěji hovoří a Java dosud není obecně zažitá jako cíl kyberkriminálníků.

Kandek ovšem říká, že tvůrci malwaru stále hledají nové cesty, jak získat kontrolu nad počítači svých obětí a protože operační systémy samotné se stávají stále hůře napadnutelné, musí se zaměřit na zranitelnosti v aplikacích třetích stran. Například na začátku tohoto týdne Microsoft varoval před nečekanou vlnou útoků na zranitelnosti v Javě (na které již navíc existují dostupné záplaty) a více než 3,5 milionů útoků za prvních devět měsíců letošního roku bylo zaměřeno na zranitelnost v Java Runtime Environment (JRE), která byla oficiálně opravena již skoro před dvěma roky.

Kandek říká, že první vlny útoků mířily na Windows a Office, druhé pak na Adobe Reader a Flash. Nyní vidíme zvýšený zájem o Javu, neboť splňuje podmínky útočníků – je široce rozšířená, obsahuje řadu známých zranitelností a její aktualizace jsou často ignorovány. Java má sice vlastní aktualizační službu, ale ta je kritizována za nedostatečné upozorňování uživatelů a za zanechávání více verzí Javy na PC.