Está na hora de reescrever o Java do zero, diz expert em segurança
16-01-2013 10:47
As recorrentes falhas de segurança resultam em uma sucessão de ameaças e patches, e pode ser tarde demais para consertar o código existente
Se a última vulnerabilidade do Java significa alguma coisa, é que está na hora de a Oracle reescrever a linguagem de programação.
Ao menos é o que acha Bogdan Botezatu, analista sênior de ameaças online da Bitdefender. A empresa de antivírus com sede na Romênia estima que ao menos 100 milhões de computadores estejam vulneráveis a ataques por conta da última vulnerabilidade 0-day do Java.
"A Oracle precisa pegar alguns componentes centrais do Java e escrevê-los do zero", disse o especialista, em uma entrevista.
O problema com produtos mais maduros, como o Java e os da Adobe, é que eles passaram por muitas mãos ao longo dos anos. "Esses produtos se tornaram tão grandes e foram desenvolvidos por tantos programadores que as fabricantes muito provavelmente perderam o controle sobre o que está no produto", disse Botezatu.
Lutando contra falhas
Os resultados dos recentes esforços da Oracle em corrigir as vulnerabildiades em Java reafirmam o que o especialista da Bitdefender disse.
Por exemplo, a Oracle corrigiu três vulnerabilidades em segurança em agosto de 2012, juntamente com o lançamento do Java 7, versão 7 rev. 7. Algumas horas depois de liberar o patch, o fundador e CEO da Security Explorations, Adam Gowdiak, encontrou uma vulnerabilidade causada pela atualização.
Alguns especialistas em segurança dizem que o Java sobreviveu ao seu papel, mas suas funções são manipuladas por outras tecnologias.
A última vulnerabilidade 0-day encontrada na linguagem de programação pode também ser atribuída a uma correção feita pela atualização de segurança liberada em outubro do ano passado. Essa atualização estava incompleta e abriu uma brecha para a vulnerabilidade descoberta na semana passada, de acordo com Gowdiak.
"Agora é uma boa hora para reescrever alguns dos principais componentes do início e garantir que eles estejam livres de bugs, em vez de continuamente liberar correções para a aplicação, de uma versão para outra", disse Botezatu.
O analista reconhece, no entanto, que isso é improvável de acontecer. "A Oracle não está aberta a fazer grandes mudanças, porque eles poderiam quebrar aplicações já existentes no mercado", acrescentou.
O problema que a empresa enfrenta com o desenvolvimento do Java é o mesmo que enfrentam todas as fabricantes de softwares: como melhorar um programa sem que destrua a compatibilidade com as versões anteriores?
"Olhe para o Windows Vista e veja como ele falhou em sua adoção, porque alguns aplicativos dos consumidores não funcionavam do XP para Vista", explicou Botezatu.
No entanto, alguns sinais indicam que a Oracle está tentando resolver algumas das questões levantadas por Botezatu. Na sexta-feira (12/1), a empresa anunciou que, começando pelo lançamento do Java 8 em setembro, novos lançamentos serão feitos por um cronograma de dois anos.
UOL