Java の最新のセキュリティ欠陥が何らかの兆候であるとすれば、それは Oracle がプログラミング言語を書き直す時期が来たということだ。
これは、ルーマニアに拠点を置くウイルス対策ソフトメーカー、ビットディフェンダーの上級電子脅威アナリスト、ボグダン・ボテザトゥ氏の見解だ。同氏は、今週発見された最新の Java の欠陥により、1 億台もの PC がハッカーの攻撃に対して脆弱であると見積もっている。
Botezatu 氏によると、Oracle は Java のコードに対する制御を失っており、そのためソフトウェアに深刻なセキュリティ上の脆弱性が引き続き発生しているとのことです。
「オラクルはJavaのコアコンポーネントをいくつか取り上げて、ゼロから書く必要がある」と彼はインタビューで語った。
JavaやAdobe製品のような成熟した製品の問題は、長年にわたり多くの人々が触れてきたことです。「これらの製品は非常に大きく、多くのプログラマーによって開発されてきたため、開発者は製品に何が含まれているのかをコントロールできなくなっている可能性が高い」とボテザトゥ氏は言います。
欠陥との戦い
Oracle が最近 Java の脆弱性を修正する取り組みを行った結果は、ルーマニアのセキュリティ専門家の分析を裏付けています。
例えば、Oracleは2012年8月にJavaのバージョン7 rev. 7をリリースし、3つのセキュリティ脆弱性を修正しました。この修正プログラムのリリースから数時間後、ポーランドのセキュリティ研究者でSecurity Explorationsの創設者兼CEOであるAdam Gowdiak氏が、このアップデートによって生じた脆弱性を発見しました。一部のセキュリティ専門家は、Javaはもはやその役割を終えており、その機能は他の技術によって担われていると述べています。
このプログラミング言語で発見された最新のゼロデイ脆弱性も、2012年10月のセキュリティアップデートで適用された不適切なパッチに起因しています。ゴウディアック氏によると、このアップデートは不完全であり、それが今週発見された脆弱性のきっかけとなったとのことです。
「今こそ、アプリケーションをあるバージョンから別のバージョンにパッチ適用するのではなく、コアコンポーネントの一部をゼロから書き直し、バグがないことを確認する良い機会です」とボテザトゥ氏は語った。
しかし、ボテザトゥ氏は、それが実現する可能性は低いと認めている。「オラクルは、既に市場に出回っているアプリケーションに悪影響を与える可能性があるため、大幅な変更には積極的ではありません」と彼は付け加えた。
Oracle が Java 開発で直面している問題は、すべてのソフトウェア メーカーが直面している問題です。つまり、以前のバージョンとの互換性を損なうことなく、プログラムをどのように改良するかということです。
「Windows Vista を例に挙げると、一部の顧客のアプリケーションが XP から Vista に移行しても動作しなかったために普及に失敗したのです」とボテザトゥ氏は説明する。
しかしながら、OracleがBotezatu氏が指摘した問題の一部に対処しようとしている兆候もいくつか見られます。同社は金曜日、9月のJava 8のリリースを皮切りに、2年ごとに新リリースを展開していくと発表しました。
現在のセキュリティ上の懸念については、米国国土安全保障省はブラウザで Java を無効にすることを推奨しており、これは Oracle の以下の手順に従って実行できます。
