H υπηρεσία Εσωτερικής Ασφάλειας των ΗΠΑ (U.S. Department of Homeland Security) προτρέπει τους χρήστες ηλεκτρονικών υπολογιστών να σταματήσουν τη χρήση της Java, ενισχύοντας έτσι τις προηγούμενες ανησυχίες και προτροπές ειδικών σε θέματα ασφαλείας προς εκατομμύρια χρηστών και επιχειρήσεων που τη χρησιμοποιούν κατά τη διάρκεια της πλοήγησης τους στο διαδίκτυο.
Οι χάκερ έχουν βρει τρόπους εκμετάλλευσης της Java για να εγκαθιστούν κακόβουλο λογισμικό που τους επιτρέπει την διάπραξη εγκλημάτων που κυμαίνονται από κλοπές ταυτοτήτων μέχρι και την μόλυνση υπολογιστών έτσι ώστε να αποτελεί μέρος ενός ad-hoc δικτύου που μπορεί να χρησιμοποιηθεί για επίθεση σε ιστοσελίδες.
“Αυτή τη στιγμή δε γνωρίζουμε κάποια αποτελεσματική λύση αυτού του προβλήματος. Αυτό αλλά και τα προηγούμενα τρωτά σημεία της Java έχουν γίνει πολλάκις στόχοι από άτομα και νέα προβλήματα της Java είναι πολύ πιθανό να ανακαλυφθούν στο μέλλον. Για την προστασία ενάντια σε αυτά τα θέματα, προτείνουμε την απενεργοποίηση της εκτέλεσης Java στα προγράμματα περιήγησης στο Web”, αναφέρει το CERT (Computer Emergency Readiness Team) της υπηρεσίας Εσωτερικής Ασφάλειας σε ανακοίνωση στην ιστοσελίδα της που έγινε αργά την Πέμπτη.
Η Oracle αρνήθηκε να κάνει κάποιο σχόλιο.
Η Java είναι μια γλώσσα προγραμματισμού ηλεκτρονικών υπολογιστών που επιτρέπει στους προγραμματιστές τη συγγραφή λογισμικού χρησιμοποιώντας μόνο ένα είδους κώδικα που θα “τρέξει” σχεδόν σε οποιοδήποτε τύπο υπολογιστή, συμπεριλαμβανομένων αυτών που “τρέχουν” τα Windows της Microsoft, το OS X της Apple και Linux, ένα λειτουργικό σύστημα που χρησιμοποιείται ευρέως από εταιρείες. Οι χρήστες των υπολογιστών έχουν πρόσβαση στα προγράμματα Java μέσω modules ή plug-ins που “τρέχουν” Java σε προγράμματα περιήγησης όπως ο Internet Explorer και Firefox.
H προειδοποίηση της υπηρεσίας των ΗΠΑ σχετικά με την Java ήρθε μετά από προηγούμενες ειδοποιήσεις ειδικών ασφαλείας την Πέμπτη ότι πρόσφατα ανακαλύφθηκε νέα “τρύπα”. Είναι σχετικά σπάνιο το φαινόμενο κυβερνητικές υπηρεσίες να προτρέπουν τους χρήστες να απενεργοποιήσουν πλήρως κάποιο λογισμικό για λόγους που οφείλονται σε κάποιο bug σχετικά με την ασφάλεια, ειδικότερα στην περίπτωση προγραμμάτων που χρησιμοποιούνται ευρέως, όπως η Java. Συνήθως προτείνουν τη λήψη μέτρων για τον περιορισμό του κινδύνου κάποιας επίθεσης, καθώς οι κατασκευαστές ετοιμάζουν κάποια ενημέρωση ή αποκρύπτουν το πρόβλημα μέχρι να ετοιμαστεί το update.
Τον Σεπτέμβριο, η γερμανική κυβέρνηση πρότεινε στο κοινό να σταματήσει προσωρινά τη χρήση του προγράμματος περιήγησης της Microsoft, Internet Explorer, για να δώσει χρόνο ώστε να επιδιορθωθεί θέμα ασφάλειας που τον καθιστούσε ευπαθή σε επιθέσεις.
Η υπηρεσία Εσωτερικής Ασφαλείας δήλωσε ότι οι επιτιθέμενοι μπορούν να ξεγελάσουν τα θύματά τους ώστε να επισκεφτούν κακόβουλες ιστοσελίδες που θα μολύνουν τους υπολογιστές τους με λογισμικό ικανό να εκμεταλλεύεται σφάλματα της Java. Αναφέρεται επίσης ότι κάποιος εισβολέας θα μπορούσε να μολύνει και έναν νόμιμο διαδικτυακό τόπο με το “ανέβασμα” κακόβουλου λογισμικού που θα μολύνει τους υπολογιστές των χρηστών που εμπιστεύονται την ιστοσελίδα επειδή την είχαν επισκεφθεί στο παρελθόν χωρίς να αντιμετωπίσουν κάποιο πρόβλημα. Στην ανακοίνωση αναφέρεται ότι δημιουργοί αρκετών δημοφιλών “εργαλείων”, γνωστών και ως exploit kits, τα οποία χρησιμοποιούνται από τους εγκληματίες για τις επιθέσεις εναντίων των υπολογιστών, έχουν προσθέσει “λειτουργίες” για την εκμετάλλευση των πρόσφατα ανακαλυφθέντων “τρυπών” της Java για τις επιθέσεις τους.
Ειδικοί ασφαλείας παρακολουθούν στενά τα θέματα ασφαλείας που σχετίζονται με την Java μετά από ένα παρόμοιο φαινόμενο τον Αύγουστο, γεγονός που οδήγησε ορισμένους από αυτούς να προτρέπουν την χρήση της Java μόνο όταν χρειάζεται. Εκείνη την περίοδο συνιστούσαν στις επιχειρήσεις να επιτρέπουν στους εργαζόμενους τους να χρησιμοποιούν Java browser plug-ins μόνο σε περιπτώσεις όπου τα αιτήματα χρήσης Java προέρχονταν από κάποια αξιόπιστη εφαρμογή όπως το GoToMeeting της Citrix Systems Inc.
O Adam Gowdiak, ερευνητής της πολωνικής εταιρείας ασφαλείας Security Explorations, είπε ότι είχε βρει και άλλα bugs σχετιζόμενα με την ασφάλεια στην Java που εξακολουθούσαν να καθιστούν τους υπολογιστές ευάλωτους σε επιθέσεις.
H Java υπέστη και άλλο ένα πλήγμα τον Οκτώβριο, όταν η Apple ξεκίνησε να αφαιρεί τις παλιότερες εκδόσεις της Java από το πρόγραμμα περιήγησης στο internet των υπολογιστών Mac όταν οι πελάτες της εγκατέστησαν την τελευταία έκδοση του λειτουργικού συστήματος OS X. Η Apple δεν έδωσε κάποια εξήγηση για την πράξη αυτή, αλλά και οι δύο εταιρείες είχαν αρνηθεί να κάνουν κάποιο εκείνη την περίοδο.