Het is tijd om Java vanaf nul te herschrijven, zegt beveiligingsdeskundige

Als de meest recente beveiligingsfout in Java een teken van iets is, is het dat het moment is aangebroken waarop Oracle de programmeertaal herschrijft. Dat is de mening van Bogdan Botezatu, een senior e-threat analyst bij Bitdefender, een in Roemenië gevestigde maker van antivirussoftware, die schat dat maar liefst 100 miljoen pc's kwetsbaar zijn voor aanvallen van hackers vanwege het nieuwste Java-defect ontdekt deze week.

Volgens Botezatu heeft Oracle de controle over de Java-code verloren. Daarom blijven er serieuze beveiligingslekken in de software voorkomen.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

"Oracle moet een aantal kerncomponenten van Java meenemen en deze vanaf nul schrijven", zei hij in een interview.

Het probleem met volwassen producten zoals Java en die van Adobe is dat zoveel handen ze gedurende een lange periode hebben aangeraakt van tijd. "Deze producten zijn zo groot geworden en zijn door zoveel programmeurs ontwikkeld dat de makers waarschijnlijk de controle verloren hebben over wat er in het product zit", zei Botezatu.

Fouten bestrijden

De resultaten van de recente inspanningen van Oracle om kwetsbaarheden te patchen in Java ondersteunt de analyse van de Roemeense beveiligingsdeskundige.

Zo heeft Oracle in augustus 2012 drie beveiligingskwetsbaarheden hersteld met een nieuwe versie van Java, versie 7 rev. 7. Binnen enkele uren na de release van die oplossing ontdekte de Poolse veiligheidsonderzoeker Adam Gowdiak, oprichter en CEO van Security Explorations, een kwetsbaarheid die door de update werd gecreëerd. Sommige beveiligingsdeskundigen zeggen dat Java zijn rol heeft overleefd en dat de functies worden behandeld door andere technologieën.

De nieuwste zero-day-kwetsbaarheid in de programmeertaal is ook terug te voeren op onbekwame patches die zijn doorgevoerd in een beveiligingsupdate van oktober 2012. Die update was onvolledig en opende de deur naar de kwetsbaarheid die deze week werd ontdekt, aldus Gowdiak.

"Dit is een goed moment om een ​​aantal kerncomponenten helemaal opnieuw te schrijven en ervoor te zorgen dat ze geen fouten bevatten, in plaats van de toepassing te patchen van de ene versie naar de andere, "zei Botezatu.

Botezatu erkent echter dat dit waarschijnlijk niet zal gebeuren. "Oracle staat niet open voor het maken van grote veranderingen omdat ze applicaties die al op de markt zijn, kunnen doorbreken", voegde hij toe.

Het probleem Oracle geconfronteerd met Java-ontwikkeling is er een van alle softwaremakers: hoe een programma te verbeteren zonder zijn vernietiging compatibiliteit met eerdere versies.

"Kijk naar Windows Vista en hoe het niet werd goedgekeurd omdat de applicaties van sommige klanten niet werkten van XP naar Vista," legde Botezatu uit.

Toch wijzen sommige tekenen erop dat Oracle probeert een aantal van de problemen aan de orde stellen die door Botezatu zijn gesteld. Op vrijdag kondigde het bedrijf aan dat, te beginnen met de release van Java 8 in september, nieuwe releases zullen worden uitgerold volgens een tweejarig schema.

Wat de huidige beveiligingsproblemen betreft, beveelt het Amerikaanse ministerie van Binnenlandse Veiligheid aan om de deuren te sluiten Java in uw browser, wat u kunt doen door deze instructies van Oracle te volgen.