Pytania na temat bezpieczeństwa platformy Java pojawiały się od dawna. Głównym argumentem podnoszonym przez specjalistów była cała seria udanych i bardzo szeroko rozpowszechnionych ataków, które wykorzystywały podatności dnia zerowego w popularnej wtyczce Java, obecnej w milionach przeglądarek internetowych na całym świecie. Ataki te miały na celu zainstalowanie złośliwego oprogramowania w niewidoczny dla użytkownika sposób, by przejąć kontrolę nad jego komputerem. Cyberprzestępcy wykorzystywali przy tym podatności dnia zerowego.

Jak wzmocnić Javę

Zmiany proponowane przez Oracle mają na celu wzmocnienie bezpieczeństwa aplikacji uruchamianych na platformie Java, gdyż jest to obecnie najczęściej atakowana przez cyberprzestępców wtyczka w przeglądarkach. Według specjalistów z firm FireEye, Kaspersky Lab, Symantec oraz Trend Micro, wtyczki w przeglądarkach, takie jak Java i Flash, są głównym celem ataków, a ich podatności są odpowiedzialne za większość infekcji stacji roboczych, także w środowiskach firmowych. Według raportów firmy Kaspersky Lab opublikowanych w grudniu ub. r., celem numer jeden dla cyberprzestępców jest właśnie Java.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• FBI ostrzega - masowy atak phishingowy w USA
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Oracle planuje w pierwszej kolejności wprowadzić zmiany w systemie odwoływania certyfikatów oraz w systemie uprawnień dla apletów, dzięki czemu niepodpisane aplety w domyślnych ustawieniach nie będą w ogóle wykonywane. Aby korporacyjne aplikacje pracowały bez zakłóceń, Oracle wprowadzi opcje centralnego zarządzania, w których administratorzy będą mogli wprowadzić firmowe aplikacje na białą listę.

Poprawki i kontrola kodu

Ujawnione plany obejmują także przyspieszenie wydawania poprawek, by połączyć je z kalendarzem poprawek dla innych produktów, oraz inne działania, które mają na celu lepszą kontrolę jakości kodu.

Nandini Ramani, odpowiedzialna w Oracle za rozwój platformy Java, mówi: "Nasz dział coraz szerzej będzie korzystać z dodatkowych narzędzi automatyzujących testowanie pod kątem bezpieczeństwa. Działania te będą obejmować coraz większe obszary kodu platformy Java. Grupa zajmująca się bezpieczeństwem Javy współpracuje z najważniejszym dostawcą narzędzi analizy kodu, by narzędzia te działały efektywnie także w tym środowisku. Opracowaliśmy narzędzia analityczne o nazwie Fuzzer, które ułatwią wykrycie i usunięcie niektórych szczególnych podatności".