Oracle zegt dat het de veiligheid van Java gaat verbeteren en dat het onlangs al belangrijke beveiligingsmaatregelen heeft doorgevoerd, maar een bekende Java-onderzoeker heeft ook in deze maatregelen een beveiligingsprobleem ontdekt. Java ligt vanwege allerlei lekken al geruime tijd onder vuur en wordt inmiddels door tal van organisaties afgeraden. Reden voor Oracle om een conference call te organiseren.
Daarin liet Milton Smith, hoofd Java-beveiliging, weten dat het bedrijf de problemen met de veelgebruikte programmeertaal gaan aanpakken, alsmede de communicatie gaat verbeteren.
"Het plan voor Java is vrij eenvoudig", aldus Milton. "Als eerste gaan we Java repareren, en als tweede gaan we onze activiteiten beter communiceren. De één kan niet zonder de ander bestaan. Alleen praten gaat niemand gelukkig maken. We moeten Java repareren."
Smith liet verder weten dat Oracle belangrijke beveiligingsmaatregelen heeft doorgevoerd om stille exploits te voorkomen. "Maar mensen begrijpen die features nog niet, ze zijn vrij nieuw." Gebruikers kunnen na het installeren van de nieuwste Java-versie vier beveiligingsniveaus instellen, waarbij ongesigneerde Java-applets niet worden geladen.
Beveiligingsniveau
Volgens de Poolse beveiligingsonderzoeker Adam Gowdiak van Security Explorations is dit een mooi theorieverhaal, maar pakt het in de praktijk anders uit. Het is namelijk nog steeds mogelijk om ongesigneerde en kwaadaardige Java-code uit te voeren zonder dat de gebruiker eerst een waarschuwing te zien krijgt, zoals ingesteld via het Java Controlepanel.
Zelfs op het allerhoogste beveiligingsniveau wordt de kwaadaardige Java-code nog steeds uitgevoerd. De enige maatregel die Java-gebruikers kunnen nemen is dan ook de Click to Play technologie gebruiken die browsers zoals Mozilla Firefox en Google Chrome toepassen, aldus Gowdiak.
Deze posting is gelocked. Reageren is niet meer mogelijk.