Det er på tide at omskrive Java fra bunden, siger sikkerhedseksperten

Hvis den seneste sikkerhedsfejl i Java er et tegn på noget, er det tid for Oracle at omskrive programmeringssproget.

Det er den opfattelse, at Bogdan Botezatu, en senior e-trusselanalytiker med Bitdefender, en rumænsk baseret maker af antivirusprogrammer, som anslår at så mange som 100 millioner pc'er er sårbare over for hackerangreb på grund af den seneste Java-defekt, der blev opdaget i denne uge.

Ifølge Botezatu har Oracle mistet kontrollen over Java's kode, hvorfor der fortsat opstår alvorlige sikkerhedsproblemer i softwaren.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

"Oracle skal tage nogle kernekomponenter i Java og skrive dem fra bunden", sagde han i et interview.

Problemet med modne produkter som Java og de af Adobe fremstillede er, at så mange hænder har rørt dem i lang tid af tid. "Disse produkter er blevet så store og er blevet udviklet af så mange programmører, at beslutningstagerne sandsynligvis har mistet kontrollen over, hvad der er i produktet," sagde Botezatu.

Bekæmpelse af fejl

Resultaterne af Oracle's seneste indsats for at korrigere sårbarheder i Java understøtter den rumænske sikkerhedsekspertens analyse.

Oracle patched for eksempel tre sikkerhedsproblemer i august 2012 med en ny version af Java, version 7 rev. 7. Inden for få timer efter frigivelsen af ​​denne løsning fandt den polske sikkerhedsforsker Adam Gowdiak, grundlægger og administrerende direktør for sikkerhedsundersøgelser, en sårbarhed skabt af opdateringen. Nogle sikkerhedseksperter siger, at Java har overlevet sin rolle, og dets funktioner håndteres af andre teknologier.

Den seneste nuldagssårbarhed, der findes i programmeringssproget, kan også spores til uhensigtsmæssig patching, der skubbes i en sikkerhedsopdatering fra oktober 2012. Denne opdatering var ufuldstændig og åbnet døren for den sårbarhed, der blev opdaget i denne uge, ifølge Gowdiak. "Nu er det en god tid at omskrive nogle kernekomponenter fra bunden og sikre sig, at de er fejlfri, snarere end at patchere applikationen fra en version til en anden, "siger Botezatu.

Botezatu erkender imidlertid, at det ikke sandsynligvis vil ske. "Oracle er ikke åbent for at foretage store ændringer, fordi de kunne bryde applikationer allerede på markedet," tilføjede han.

Problemet Oracle står overfor med Java-udvikling, står over for alle softwareproducenter: Sådan forbedres et program uden at ødelægge dets kompatibilitet med tidligere versioner.

"Se på Windows Vista, og hvordan det ikke blev vedtaget, fordi nogle kunders applikationer ikke fungerede fra XP til Vista," forklarede Botezatu.

Ikke desto mindre viser nogle tegn, at Oracle forsøger at behandle nogle af de spørgsmål, som Botezatu har rejst. På fredag ​​meddelte virksomheden, at der fra starten af ​​udgivelsen af ​​Java 8 i september vil blive udgivet nye udgaver på en toårig plan.

Hvad angår de nuværende sikkerhedshensyn, anbefaler US Department of Homeland Security at slukke Java i din browser, som kan gøres ved at følge disse instruktioner fra Oracle.