Staré verze Javy ohrožují bezpečnost firemních systémů

Navzdory výrazným zlepšením bezpečnosti Javy, které Oracle provedl za posledního půl roku, se chyby v tomto programovacím jazyku neustále objevují a ohrožují firmy po celém světě. Vyplývá to z nové studie společnosti Bit9 založené na datech ze systémů téměř čtyř set nadnárodních organizací. Podle Bit9 je nejpoužívanější verzí Javy ve firemním prostředí verze 6, jež je v 80 % korporátních počítačů.

Veřejná podpora Javy 6 byla ukončena v dubnu a pouze zákazníci Oracle s dlouhodobou placenou podporou mohou i nadále pro tuto verzi získávat aktualizace. Nejnovější verze Javy s označením 7 se podle Bit9 nachází pouze v 15 % firemních systémů. Většina organizací, které využívají Javu 6, navíc nemá nainstalované nejnovější aktualizace. A to je špatné, jelikož například ve vůbec nejpoužívanější verzi Javy 6 Update 20 je 215 bezpečnostních děr. Dalším problémem je to, že ve většině firem je nainstalováno hned několik verzí Javy naráz.

Ze studie vyplývá, že ve 42 % společností jsou nainstalovány více než dvě verze Javy současně a ve 20 % firem dokonce tři. Podle Bit9 mají organizace průměrně ve svých systémech nainstalováno 50 různých druhů Javy. Okolo pěti procent organizací pak má nainstalováno dokonce více než sto verzí. „Většina správců si neuvědomuje, že i když aktualizace Javy 7 smaže existující instalace Javy 6, kompletní nová instalace Javy 7 neodstraní starší verze,“ říká Harry Sverdlove z Bit9. Ze studie dále vyplývá, že 93 % organizací má na svých počítačích nainstalovánu verzi Javy, která je minimálně pět let stará. Jedenapadesát procent firem pak má Javu starou pět až deset let.

Problém je v tom, že pokud je v systémech společnosti nainstalováno více verzí Javy naráz, útočníci se mohou zaměřit na starší verze a proniknout díky nim do systému. Jakmile se to stane, zabezpečení novější verze Javy již nepomůže. Podle Sverdlova je sice podpora více verzí Javy na korporátních systémech zajímavá pro uživatele, avšak z bezpečnostního hlediska jde o noční můru. Díky každé nainstalované verzi tohoto programovacího jazyka je pro útočníky jednodušší proniknout do systému. Sverdlove přirovnal z bezpečnostního hlediska používání pět až deset let staré verze Javy k používání Windows 95.

Většina firem si podle expertů ani neuvědomuje, jaká rizika existence více verzí Javy na firemních systémech naráz přináší. Každá firma by si proto podle Sverdlova měla vytvořit určitou politiku používání Javy a dodržovat ji. Bit9 ve své studii nakonec dodává, že většina útoků hackerů pomocí Javy se děje prostřednictvím modulů u webových prohlížečů. Firmy by si proto měly dávat pozor také na to, aby jejich prohlížeče spolu s přídavky byly vždy aktuální.