Eksperdid: Java uuendamisel turvaaugud ei kao
14. jaanuar 2013, 13:56
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Kuigi Oracle andis pühapäeval välja hädaabi-uuenduse oma Java tarkvarale, pole see uuendus tarkvaraspetsialistide sõnul piisav, et personaalarvuteid häkkerite küberrünnakute eest kaitsta, kirjutab Reuters.
Tarkvaratootja Oracle andis Java uuenduse välja vaid paar päeva peale seda, kui USA võimud soovitasid tarbijatel selle kasutamisest suurte turvaaukude tõttu loobuda.
Oracle'i võimetus kiirelt tarkvara ohutust tagada tähendab seda, et kõik personaalarvutid, mille veebilehitsejad kasutavad Javat, on küberkriminaalide võimalike rünnakute vastu kaitsetud.
Poland Security Explorationsi analüütik Adam Gowdiak, kes on leidnud viimase aasta jooksul mitmeid erinevaid turvaauke Java tarkvaras, ütles, et eile avalikustatud uuendus jättis mitmed väga olulised turvaprobleemid katmata.
«Me ei julge kasutajatele Java kasutamist soovitada,» ütles ta.
Mõned turvakonsultandid annavad ettevõtetele nõu eemaldada Java kõigi oma töötajate veebibrauseritest, välja arvatud nende puhul, kes tingimata seda oma igapäevaseks tööks vajavad.
Turvaprobleemidega tegeleva ettevõtte Rapid 7 tegevjuhi HD Moore'i sõnul võib Oracle'il Java veebibrauserites kasutatava versiooni kõikide turvaprobleemide lappimiseks kuluda kuni kaks aastat.
«Kõige kindlam on eeldada, et Java jääb alatiseks haavatavaks. Inimestel ei ole tegelikult Javat oma töölauale vaja,» ütles ta.
Oracle ütles pühapäeval oma blogis, et kättesaadavaks tehtud uuendus parandas kaks haavatavat kohta Java 7 veebibrauseritele mõeldud versioonis, samuti tõstis ettevõtte Java turvasätete ranguse vaikeseade «kõrgele» tasemele, mis peaks tähendama seda, et pahavaral on keerulisem kasutaja teadmata tema arvutit kasutada.
Java on programmeerimiskeel, mis lubab programmeerijatel luua tarkvara vaid ühte kooditüüpi kasutades, töötades olenemata operatsioonisüsteemist (Windows, OS X või Linux) pea kõikidel arvutitel.
Ühte Java versiooni kasutatakse veebibrauserites interneti sisuni pääsemiseks, teised eraldiseisvad versioonid installeeritakse otse personaalarvutitesse, serverarvutitesse või teistesse seadmetesse, nende hulgas näiteks telefonidesse, veebikaameratesse ja Blu-ray mängijatesse.
USA Department of Homeland Security ning mitmed arvutiturbe eksperdid väitsid neljapäeval, et häkkeritel on õnnestunud leida internetibrauserite kasutatavas Java tarkvaras turvaauk, mille abil on võimalik installeerida arvutitesse pahavara. See on juba praegu lubanud neil läbi viia identiteedivargusi ning luua nakatunud arvutitest robotvõrgustikke, mille abil erinevaid veebikeskkondi rünnata.
Oracle'i sõnul puudutavad antud vead ainult tarkvara viimast versiooni Java 7 ning neid Java versioone, mis on mõeldud veebilehitsejatel töötama.
Java on nii laialt kasutatud tarkvara, et see on saanud häkkerite põhiliseks sihtmärgiks. Eelmisel aastal möödus Java Kaspersky Labi andmetel Adobe Systemsi Adobe Readerist enimrünnatud tarkvara edetabelis, eelmisel aastal oli Java oma vastutav üle 50 protsendi nende küberrünnakute eest, mille puhul kasutati ära mingi tarkvara turvavigu.
USA Department of Homeland Security esindajate sõnul võivad ründajad meelitada oma sihtmärke külastama kahtlaseid veebilehekülgi, mis võivad nende personaalarvuteid nakatada pahavaraga, mis on omakorda võimeline Java turvalisuse puudujääke ära kasutama. Samuti võivad ründajad nakatada pahavara üles laadides ka legitiimseid veebilehekülgi, mis võib oma korda nakatada pahaaimamatuid ja usaldavaid kasutajaid, kes varem seda keskkonda kasutades pole probleeme täheldanud.