Компания Sun Microsystems поставила под угрозу миллионы пользователей среды Java из-за того, что выпускает патчи для программного обеспечения по частям, затягивая время на тестировании, говорят в компании eEye Digital Security.
Для иллюстрации проблемы в eEye указали на недавний баг в среде Java Runtime Enviroment, используемой для работы программами, написанными на Java.
В январе eEye обнаружила серьезную уязвимость в сетевой системе Java Network Launching Protocol, используемую для работы программ через веб. Злоумышленник мог использовать эту уязвимость при помощи злонамеренного кода, размещенного на сайте. В дальнейшем он получал доступ к ПК, на котором в среде Java этот код и работал.
Исправление для этой бреши в безопасности было выпущено в конце июня, но Sun еще предстоит распространить его среди миллионов пользователей по всему миру. На сегодня, компания сделала лишь developer-выпуск этого патча и разместила его на java.sun.com.
Возникает вопрос: зачем это нужно делать? Для того, чтобы разработчики смогли убедиться, что в этом патче нет уязвимостей. “Существует дополнительный раунт тестирования разработок, прежде чем они попадут к пользователям” – говорит Джеки Декостер, представитель Sun.
По мнению аналитиков, проблема данного подхода заключается в том, что злоумышленники получают всю информацию об уязвимости и дополнительное временнОе окно для ее эксплуатации, говорят в eEye.
“У Sun ужасная система обновлений, они выпускают патчи, предоставляют данные об уязвимостях, но закрыть эти уязвимости конечные пользователи могут лишь спустя пару недель” – говорит технический директор eEye Марк Майфрет.
