In het rapport ‘Write Once, Pwn Anywhere’ (PDF) meldt beveiligingsbedrijf Bit9 dat veel bedrijven er langzaamaan Java verlaten. De meerderheid van bedrijven blijft toch vasthouden aan het platform, bijvoorbeeld omdat het ecosysteem van bedrijfsapplicaties op het platform draait. Dit krampachtige vasthouden aan een oud platform - en vooral oude browser-plugins - draagt bij aan de populariteit van Java bij kwaadwillenden.

Bit9 heeft data verzameld van een miljoen bedrijfsmatige eindgebruikers – het bedrijf levert onder meer een zakelijke applicatiebeveiligingsdienst – van honderden bedrijven. Er is voornamelijk gekeken naar de Java-applicaties die via browsers worden aangeboden. Daaruit blijkt dat vrijwel alle bedrijven aan een verouderd platform hangen.

Browserproblematiek

Java-lekken zijn voornamelijk een probleem in de browser. Bedrijven schakelen de plug-in echter niet uit, omdat veel bedrijfsapplicaties met Java werken. Vaak is dat een sterk verouderde versie. Zo’n negentig procent van de bedrijven heeft Java-applicaties draaien die op Java 6 (JRE 1.6.0) zijn gebouwd en niet compatibel zijn met een nieuwere versie.

Deze applicaties worden in de regel niet aangeboden via de browser, waardoor bedrijven niet bloot worden gesteld aan drive-by-aanvallen omdat er een oude Java-versie in de browser draait. Maar deze regel wordt door sommige aanbieders geschonden. Zo worden er online portals waar bedrijven afhankelijk van zijn aangeboden met een sterk verouderde Java-versie. Deze portals vereisen dat het oude platform is geïnstalleerd bij de gebruiker.

Minder dan één procent van de bedrijven draait de laatste versie van Java, blijkt uit onderzoek van Bit9. Bedrijven die wel updaten, staan er volgens het beveiligingsbedrijf niet vaak bij stil dat er nog steeds een oude Java-versie kan draaien, ook al is er een update uitgerold. Vooral bedrijven die Java 6 en eerder gebruiken – het overgrote deel dus – zijn op deze manier kwetsbaar.

Applet toch in oude versie

Daarnaast is het met meerdere versies niet altijd duidelijk met welke versie de applet wordt gedraaid. Een computer met Java 6 update 30 liet in zijn systeeminformatie zien dat dit om update 13 ging. Maar erger is dat tijdens een test op een systeem waar Java 6 update 13 op draaide, de Java-applet toch werd gedraaid in Java 5 update 22.

In Java 7 update 21 heeft Oracle dit deels ondervangen door gebruikers te waarschuwen dat Java gedraaid wordt in een oudere versie als deze is geïnstalleerd. Bit9 waarschuwt dat veel gebruikers deze waarschuwing zullen negeren. De allernieuwste Java-versie (update 25) gaat een stap verder en weigert een oude versie helemaal uit te voeren.

Niet web-based Java kan wel

Bit9 raadt bedrijven om eens goed te overwegen of Java nu echt wel nodig is en om oude versies te verwijderen bij eindgebruikers, bijvoorbeeld met een tool als JavaRa. Deze applicatie is gebouwd voor een effectieve uitrol (of verwijdering) van Java en verwijdert meteen ongewenste verouderde versies.

Daarbij wijst het bedrijf er wel op dat het niet nodig is om te overdrijven met Java-verwijdering, omdat er vele Java-applicaties zijn die niet in de browser draaien. Ze moeten er dus vooral voor zorgen dat deze niet beschikbaar komen in de browser. Verder moeten netwerken Java-gebruik in de browser monitoren in de applicatielaag en erop letten of er onverwacht of verkeerd gebruik wordt gemaakt van onveilige versies.