Sun Microsystems đang đặt hàng triệu người dùng Java trước mũi nguy hiểm khi lằng nhằng mãi không chịu phát hành miếng vá bảo mật cho một loạt lỗ hổng cực kỳ nguy hiểm của ngôn ngữ này.
Để minh họa tính chất nghiêm trọng của vấn đề, hãng bảo mật eEye Digital Security đã chỉ ra một lỗ hổng mới được phát hiện bên trong Java Runtime Environment, một tính năng được dùng để chạy các chương trình viết bằng Java.
Nguồn: Techreview
Tháng một vừa qua, eEye cũng đã phát hiện được một lỗi nghiêm trọng trong Java Network Launching Protocol, giao thức dùng để chạy các ứng dụng Java trên nền Web.
Hacker có thể khai thác lỗ hổng này bằng cách lập ra một website độc, chuyên cài đặt mã trái phép trên bất cứ máy tính Java nào ghé thăm.
Lỗ hổng này đã được vá lại vào cuối tháng 6, tuy nhiên, Sun không hề có ý định phát hành mở rộng miếng vá tới hàng triệu người dùng Java trên toàn thế giới.
Thay vào đó, hãng chỉ tung ra một bản dành cho cộng đồng phát triển trên trang web Java.sun.com để người dùng tự xoay sở, với điều kiện họ phải có hiểu biết khá sâu về công nghệ.
Trái bóng trách nhiệm
Lý do của quyết định này ư? "Đá trái bóng trách nhiệm sang tay cộng đồng phát triển", eEye nhận định.
Trong khi Sun dùng dằng mãi không chịu phát hành miếng vá cho người dùng đại trà, bọn tội phạm mạng sẽ có thoải mái thời gian và cơ hội để đảo ngược lại cấu trúc của lỗ hổng bên trong Java, tạo ra những đoạn mã tấn công mới nhắm đến hàng triệu người dùng khốn khổ kia.
"Quy trình cập nhật của Sun thật kinh khủng. Phát hành miếng vá cho một lỗ hổng tới vài tuần rồi mới tung ra tiếp miếng vá dành cho các phiên bản khác", giám đốc kỹ thuật của eEye ngán ngẩm.
Microsoft luôn phát hành miếng vá bảo mật cho tất cả các phiên bản sản phẩm dính lỗi cùng lúc, nhưng Sun thì không. Điều kỳ quặc là Sun không phải trường hợp cá biệt.
Lấy thí dụ, Oracle cũng có thói quen phát hành miếng vá dành cho cơ sở dữ liệu của những hệ điều hành ít thông dụng trước, rồi mới phát hành bản vá lỗi đại trà sau.
"Để cho người dùng Java hớ hênh như vậy quả là một ý tưởng tồi", ông Cesar Cerrudo, Giám đốc điều hành Argeniss Information Security tuyên bố.
Trọng Cầm (Theo PC World)