Компания Sun Microsystems поставила под угрозу миллионы пользователей среды
Java из-за того, что выпускает патчи для программного обеспечения по частям,
затягивая время на тестировании, говорят в компании eEye Digital Security.
Для иллюстрации проблемы в eEye указали на недавний баг в среде Java Runtime
Enviroment, используемой для работы программами, написанными на Java. В
январе eEye обнаружила серьезную уязвимость в сетевой системе Java Network
Launching Protocol, используемую для работы программ через веб. Злоумышленник
мог использовать эту уязвимость при помощи злонамеренного кода, размещенного
на сайте. В дальнейшем он получал доступ к ПК, на котором в среде Java этот
код и работал. Исправление для этой бреши в безопасности было выпущено в
конце июня, но Sun еще предстоит распространить его среди миллионов пользователей
по всему миру. На сегодня, компания сделала лишь developer-выпуск этого
патча и разместила его на java.sun.com. Возникает вопрос: зачем это нужно
делать? Для того, чтобы разработчики смогли убедиться, что в этом патче
нет уязвимостей. "Существует дополнительный раунт тестирования разработок,
прежде чем они попадут к пользователям" - говорит Джеки Декостер, представитель
Sun. По мнению аналитиков, проблема данного подхода заключается в том, что
злоумышленники получают всю информацию об уязвимости и дополнительное временнОе
окно для ее эксплуатации, говорят в eEye. "У Sun ужасная система обновлений,
они выпускают патчи, предоставляют данные об уязвимостях, но закрыть эти
уязвимости конечные пользователи могут лишь спустя пару недель" - говорит
технический директор eEye Марк Майфрет.