无法消除Java安全漏洞的甲骨文备受指责,但是,对急速拓展商务的Oracle而言,也有它的苦衷-无法为非收益来源的Java进行足够的安全投资。
政府发出的使用软件禁止令对企业来说,是最不愿发生的情况,而在2013年1月10日(美国时间)甲骨文公司就发生了此事。美国国土安全部(DHS)警告必须卸载客户端PC的Java ,因为Java 的脆弱性已对所有的计算机用户构成重大的威胁。
陆续发现的安全漏洞,使Java的声誉严重受损。近日卡巴斯基的安全研究人员宣布在“Java 7 Update ”10发现红色十月攻击(Red October)。这个Exploit(漏洞利用)入侵世界各国政府机关的数百台客户端PC,已经活动了几个月。
虽然Oracle发布了最新版的Java 7 Update 11,但之后不久一些安全专家指出,这个修改补丁也存在安全漏洞,因此,美国国土安全部再次发出警告:“除非用户必须在网络浏览器上使用Java程序,而其他用户为了抵御当前和未来的Java漏洞,在更新7u11(Java 7 Update 11)后,应当关闭Web浏览器中的Java,因为Java软件的安全更新也无法保证计算机不再被黑客攻击,。”
美国网络安全公司Rapid7的首席技术官(CSO)莫尔(HD Moore是一名杰出的软件漏洞研究者和著名黑客) 对路透社表示,Oracle最长需要2年时间才能完全修补现行版Java漏洞,与此同时,莫尔还建议电脑用户从计算机卸载Java软件。
事实上,这些并不是新的问题,Java漏洞利用问题由来已久且其数量也很多。俄罗斯著名的反病毒工具卡巴斯基(Kaspersky)的“IT威 胁进展(IT Threat Evolution)”报告就显示,2012年第三季度,56%的嗅探攻击利用了Java漏洞,Kaspersky的专家也严厉批评Oracle。
Kaspersky Labs高级研究工程师Roel Schouwenberg严厉批评甲骨文公司,建议用户应当立即卸载Java。他指出,目前很多企业在不同程度上不断改善其安全对策,但这些年来,在安全方面甲骨文公司则完全停止了努力,它既没有提高软件的安全性,而且,它的更新机制也没有得到改善。甲骨文对安全漏洞的对策非常不足,比如,竟然对可以轻而易举修改的安全漏洞几个月都置之不理。
不断出现安全漏洞的Oracle,不禁让人产生疑问- 究竟Oracle有无资格充当Java语言程序的监护公司?
Oracle是一家行动缓慢且慎重的商务软件行业的企业,它和微软公司有很大的不同-它没有像微软公司那样长期受到黑客攻击的经验,而微软公司20多年来一直备受黑客困扰,因此,对迅速应对安全漏洞的重要性有足够的认识。
Oracle也有支持者
尽管有重大安全问题,甲骨文也不乏其拥护者,比如美国市场研究公司Technology Business Research分析师Elizabeth Henry就支持甲骨文。他认为,最终甲骨文的问题会得到解决。但只集中解决Java问题并不是一个好办法,要想解决甲骨文的问题,需要对所有的必要功能实施最优化的改革,而这将是一个综合性的长期的工作。
Oracle在不断扩大其商务活动。甲骨文比2010年收购Sun Microsystems获得Java时相比,其业务呈现出多元化。因此,目前甲骨文正准备对公司的产品实施端到端(End-to-End )整合,其中也包括Java。
与此同时,Elizabeth Henry指出,自从甲骨文开始提供云计算服务后,更加重视安全问题。他解释说:“应对云计算黑客必须行动迅速,因此,甲骨文在拓展公有云的同时,不得不强化Java。甲骨文在提供Java服务,估计对本地机也会采取相应的对策。”
另一方面,美国市场调查公司Enderle Group首席分析师Rob Enderle则认为,Oracle应将Java卖给谷歌公司,不应对毫无收益的产品紧抓不放。他说:“甲骨文的执行长Larry Ellison是非常重视(盈亏)数字的人。现在虽然损失小,但照此下去它今后肯定会成为沉重的负担。”
他补充说:“显而易见,美国安全部已提出警告这一事实,对任何供应商来说都会产生负面影响。”
Microsof和Google以及Apple公司积极监控本企业操作系统的漏洞利用。与Red October相关的Java 漏洞利用就是偶然被人发现,其攻击已活动好几个月。 Enderle认为甲骨文对无法带来投资收益的产品,不会耗费资金和劳力。
他说:“Oracle并没有从Java得到很大利益,虽然会有可能从谷歌抢到很小的市场份额,但目前进展并不顺利。甲骨文应将Java卖给谷歌,估计谷歌会非常高兴获得Java。”(金顺英/译)