Als Oracle zich niet aanpast zoals in het verleden Microsoft en Adobe deden, zal Java uiteindelijk 'irrelevant' worden, aldus Sean Sullivan van F-Secure. Sinds 2004 zijn populaire programma's altijd het doelwit van aanvallers geweest zoals Windows, Microsoft Office en Adobe Reader. Een goed update-beleid zorgde ervoor dat het aantal aanvallen echter afnam.

Sullivan geeft als voorbeeld de introductie van Microsoft Update. De eerste aanvallen hadden het op Windows voorzien. Door de introductie van Service Pack 2 voor Windows XP werd de Automatische Update functie geïntroduceerd, waardoor het besturingssysteem automatisch werd gepatcht. Dit bracht Office in het vizier van de aanvallers kwam, aangezien de kantoorsoftware toen nog apart moest worden geüpdatet.

Halverwege 2005 verscheen Microsoft Update, waardoor ook Office automatisch werd bijgewerkt. Het aantal misbruikte Office-lekken nam hierdoor af. Aanvallers verschoven vervolgens hun aandacht naar Adobe Reader, wat in 2009 nog de 'nieuwe Internet Explorer' werd genoemd.

Ontwikkeling
Adobe lanceerde een security initiatief, besloot informatie via het Microsoft Active Protections Program (MAPP) te delen en wijzigde de patchcyclus, zodat die synchroon met die van Microsoft liep. Ook de introductie van een sandbox zorgde ervoor dat gebruikers geruime tijd veilig waren, maar onlangs wisten aanvallers de beveiliging van de sandbox toch te doorbreken.

Aanvallers hadden inmiddels al hun aandacht verschoven naar Java, dat in 2009 eigendom van Oracle werd. Sinds 2010 stapelde het aantal gevonden lekken in de Java Runtime Environment (JRE) zich op. Daarbij is het uitschakelen van de browserplug-in niet in alle gevallen voldoende, zoals bleek uit een aanval op Spotify Free-gebruikers via kwaadaardige advertenties.

Cyclus
Oracle hanteert ook een patchcyclus, die voor april, juni en oktober gepland staat, wat volgens veel critici te lang is. Daarbij gaat Oracle ook voorbij aan de bestaande patchdinsdag van Microsoft en Adobe. Zo vindt de nu geplande update voor Java op de derde dinsdag van april plaats, terwijl de andere bedrijven updates altijd op de tweede dinsdag van de maand uitbrengen.

Hierdoor worden IT-afdelingen gedwongen extra onderhoud en tests uit te voeren. "Oracle ontwikkelt zich, of Java zal uiteindelijk steeds irrelevanter worden", voorspelt Sullivan.