Java heeft voor altijd het malware-vrije imago van Apple's Mac OS X besmeurt door onveilige software te maken waardoor honderdduizenden gebruikers geïnfecteerd raakten. "Het is vrij duidelijk dat Java de nieuwe Adobe is. Maar waar Adobe (succesvol) in technieken zoals sandbox investeerde, blijft het zeer stil aan de kant van Java-ontwikkelaar Oracle", zegt Roel Schouwenberg, senior virus-analist van Kaspersky Lab.
Hij merkt op dat Java in 2005 de eerste third-party browser plug-in was die door cybercriminelen werd aangevallen. "Het was alleen na successen tegen Java dat de criminelen ook Adobe en andere producten besloten aan te vallen", gaat Schouwenberg verder. "Op de één of andere manier hebben we Java laten wegkomen door bijna een decennium lang zo goed als niets aan het probleem te doen."
Zowel Java (Oracle) als de beveiligingsgemeenschap moet zich volgens Schouwenberg dan ook schamen dat het zover is gekomen. Hij merkt tevens op dat de Flashback-malware geen administrator-wachtwoord vereist, zoals sommige mensen denken.
Oracle
De virusanalist hoopt dat de malware-uitbraak een 'wake-up call' voor Apple zal zijn. "Het is inmiddels kristalhelder voor iedereen dat OS X een echt doelwit is." Schouwenberg vindt het goed dat Apple Java uit de OS X Lion verwijderde, maar stelt dat dit niet het grote probleem oplost. "Java heeft voor altijd het malware-vrije imago van OS X besmeurd. Het was vrij van malware, maar we hebben nu een groot botnet dat de mythe van een malware-vrij OS X verder aantast."
"Zelfs als Apple het gat dicht, het cross-platform Java-probleem blijft bestaan. Oracle moet echt beter z'n best doen", aldus Schouwenberg. Hij denkt dat het bedrijf geen moeite zou moeten hebben om de vereiste middelen vrij te krijgen, aangezien Microsoft en Adobe vanwege hun beveiligingsbeleid juist geprezen worden.
Er zou dus geen excuus meer voor Oracle moeten zijn. "Tot de dag komt dat Oracle zich zichtbaar richt op security, is de beste maatregel het verwijderen van Java, ongeacht welk platform je gebruikt. Hopelijk zal dat Oracle aanmoedigen om de veiligheid van de eigen producten te verbeteren."
Deze posting is gelocked. Reageren is niet meer mogelijk.