'Oracle moet patchen via Windows Update'

Maar die Java-implementaties zijn vaker kwetsbaar dan de tot voor kort bij hackers favoriete Adobe-software. Op 40 procent van de systemen die Qualys monitort, blijkt Java niet up-to-date te zijn en minstens 1 kritiek lek te bevatten. En dan gaat het om een groep gebruikers met voldoende beveiligingsbesef om zo’n monitor te installeren, want de BrowserCheck is een plug-in die je zelf moet installeren.

Hackers realiseren zich kennelijk ook dat Java hun kansen biedt. Microsoft meldde eerder deze week een ongekende golf aanvallen op kwetsbaarheden in Java waar al wel patches voor zijn, van minder dan 0,5 miljoen in het eerste kwartaal tot meer dan 6 miljoen in het derde kwartaal. Het aantal aanvallen op producten van Adobe, zoals PDF, valt daarbij inmiddels in het niet.

Beheerders in bedrijven zijn vaak minder alert op Java-gerelateerde problemen, zegt Kandek. En daar komt bij dat de updateservice van Java niet optimaal ingericht is. Het mechanisme waarschuwt gebruikers traag, en – erger nog – het staat toe dat meerdere, ook ongepatchte Java-implementaties aanwezig blijven als een gebruiker een patch aanbrengt op een van de implementaties.

Kandek verwacht niet dat Oracle en Microsoft warm lopen voor zijn idee. Maar het voordeel van een robuustere desktop is voor hun klanten zo groot dat ze er eigenlijk wel aan zouden moeten, vindt Kandek.

Er is wel een precedent. Apple distribueert de patches voor Java al zelf via zijn updatemechanisme. Overigens kreeg Apple wel vaak de kritiek dat er nogal veel tijd verstrijkt tussen de beschikbaarheid van de patch en het moment waarop die voor het Mac-platform beschikbaar komt.