KTĐT - Hôm 20/10/2010, một chuyên gia bảo mật cho rằng, Oracle nên sử dụng dịch vụ cập nhật của Microsoft để tăng cơ hội chạy một phiên bản Java đã vá lỗi cho người dùng.
"Giải pháp sẽ thoát khỏi tất cả các công cụ cập nhật khác nhau, và thay vào đó những công ty như Oracle sẽ cộng tác với Microsoft để sử dụng Windows Update hay Windows Server Update Services (WSUS) để phân phối các bản sửa lỗi cho Java", ông Wolfgang Kandek, Giám đốc công nghệ tại Qualys nói.
WSUS là cơ cấu cập nhật cấp doanh nghiệp mà hầu hết các công ty dựa vào để phân phối các bản vá lỗi Windows và nhiều phần mềm khác của Microsoft.
Theo số liệu khai thác từ dịch vụ miễn phí BrowserCheck của Qualys, 8 trong số 10 máy tính Windows chạy một hoặc nhiều bản copy của Java, làm cho phần mềm của Oracle cũng phổ biến như Adobe Reader, nhưng đứng sau Flash.
Trong những hệ thống cài Java, hơn 40% đang chạy một phiên bản cũ có chứa ít nhất một lỗ hổng nghiêm trọng, ông Kandek cho biết. Điều đó đặt Java ở đầu danh sách các phần mềm chưa được vá lỗi. Ngay cả Adobe Reader và Flash, vốn “nổi danh” là những mục tiêu ưa thích của bọn tội phạm, cũng còn cập nhật hơn.
Đầu tuần trước, đội chống malware của Microsoft cho biết, "một làn sóng chưa từng có" của các cuộc tấn công đã và đang khai thác những lỗi Java đã vá từ lâu. 9 tháng đầu năm 2010 có hơn 6 triệu cuộc tấn công thì hơn 3,5 triệu cố gắng khai thác một lỗ hổng Java Runtime Environment (JRE) đã vá gần 2 năm trước đây.
"Trong khi làn sóng đầu tiên tập trung khai thác trên Windows Office, làn sóng thứ hai trên Adobe Reader và Flash, chúng ta đang thấy một sự chú ý tăng lên trên Java", ông Kandek nói. Phần mềm của Oracle đáp ứng nhiều yêu cầu của tin tặc: Nó được cài đặt rộng rãi, nó có chứa một số lỗi nổi tiếng và phần lớn đã bị các nhân viên CNTT chịu trách nhiệm vá lỗi cho các PC trong tổ chức của họ bỏ qua.
Dù thừa nhận rằng ý tưởng mà Microsoft sẽ phát hành bản cập nhật Java là một sự cố gắng lâu dài, ông Kandek nghĩ rằng nó rất đáng xem xét. "Lợi ích là rất lớn nếu họ có thể làm việc cùng nhau, nó sẽ giúp cho Windows client mạnh mẽ hơn", ông Kandek nói.
Có một tiền lệ cho đề nghị của ông Kandek. Đó là, Apple cũng phân phối các bản vá lỗi bảo mật Java cho người dùng Mac OS X thông qua quá trình cập nhật của chính mình. Tuy nhiên, Apple thường vá Java trên Mac vài tháng sau khi Sun công bố các bản sửa lỗi này. Sun là nhà sản xuất của Java và đã bị Oracle mua lại hồi đầu năm nay.
