'Oracle past zich aan of Java verdwijnt'
Als Oracle zich niet aanpast zoals in het verleden Microsoft en Adobe deden, zal Java uiteindelijk 'irrelevant' worden, aldus Sean Sullivan van F-Secure. Sinds 2004 zijn populaire programma's altijd het doelwit van aanvallers geweest zoals Windows, Microsoft Office en Adobe Reader. Een goed update-beleid zorgde ervoor dat het aantal aanvallen echter afnam.
Sullivan geeft als voorbeeld de introductie van Microsoft Update. De eerste aanvallen hadden het op Windows voorzien. Door de introductie van Service Pack 2 voor Windows XP werd de Automatische Update functie geïntroduceerd, waardoor het besturingssysteem automatisch werd gepatcht. Dit bracht Office in het vizier van de aanvallers kwam, aangezien de kantoorsoftware toen nog apart moest worden geüpdatet.
Halverwege 2005 verscheen Microsoft Update, waardoor ook Office automatisch werd bijgewerkt. Het aantal misbruikte Office-lekken nam hierdoor af. Aanvallers verschoven vervolgens hun aandacht naar Adobe Reader, wat in 2009 nog de 'nieuwe Internet Explorer' werd genoemd.
Ontwikkeling
Adobe lanceerde een security initiatief, besloot informatie via het Microsoft Active Protections Program (MAPP) te delen en wijzigde de patchcyclus, zodat die synchroon met die van Microsoft liep. Ook de introductie van een sandbox zorgde ervoor dat gebruikers geruime tijd veilig waren, maar onlangs wisten aanvallers de beveiliging van de sandbox toch te doorbreken.
Aanvallers hadden inmiddels al hun aandacht verschoven naar Java, dat in 2009 eigendom van Oracle werd. Sinds 2010 stapelde het aantal gevonden lekken in de Java Runtime Environment (JRE) zich op. Daarbij is het uitschakelen van de browserplug-in niet in alle gevallen voldoende, zoals bleek uit een aanval op Spotify Free-gebruikers via kwaadaardige advertenties.
Cyclus
Oracle hanteert ook een patchcyclus, die voor april, juni en oktober gepland staat, wat volgens veel critici te lang is. Daarbij gaat Oracle ook voorbij aan de bestaande patchdinsdag van Microsoft en Adobe. Zo vindt de nu geplande update voor Java op de derde dinsdag van april plaats, terwijl de andere bedrijven updates altijd op de tweede dinsdag van de maand uitbrengen.
Hierdoor worden IT-afdelingen gedwongen extra onderhoud en tests uit te voeren. "Oracle ontwikkelt zich, of Java zal uiteindelijk steeds irrelevanter worden", voorspelt Sullivan.
Maar als we nooit meer java zien vind ik het niet erg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
