شرکت Bit9 اخیراً گزارش تکان دهنده ای از وضعیت Java در شبکه های سازمانی منتشر کرده است. این گزارش که حاصل آمار و اطلاعات جمع آوری شده از یک میلیون کامپیوتر در بیش از 400 موسسه و شرکت است، تصویر بسیار نگران کننده و هشدار دهنده ای را ترسیم می کند.
با وجود انتشار نسخه Java 7، کماکان 80 درصد کامپیوترهای سازمانی از نسخه Java 6 استفاده می کنند. نسخه Java 6 در اواخر فروردین ماه امسال به پایان عمر خود رسیده و شرکت Oracle دیگر برای آن اصلاحیه امنیتی و نسخه های به روز شده ای، منتشر نمی کند.
تلاش های اخیر شرکت Oracle برای ایمن سازی هر چه بیشتر Java بر روی نسخه 7 این نرم افزار متمرکز بوده است ولی با این حال، تنها 15 درصد از کامپیوترهای سازمانی از این نسخه جدید استفاده می کنند.
کاربرانی هم که از نسخه Java 6 استفاده می کنند، اغلب فاقد آخرین اصلاحیه های امنیتی هستند. رایج ترین نسخه Java 6 که بر روی کامپیوترهای سازمانی استفاده می شود، نسخه Java 6 Update 20 است که بالغ بر 9 درصد از نسخه های Java 6 می شود. این نسخه در برابر 215 ضعف امنیتی آسیب پذیر است. 96 ضعف از این 215 مورد دارای درجه خطر و اهمیت “حیاتی” هستند.
آخرین نسخه Java 6 که از سوی شرکت Oracle منتشر شده، نسخه Java 6 Update 45 است که همزمان با نسخهJava 7 Update 21 در فروردین ماه امسال ارائه گردید.
یکی از بزرگترین مشکلات درباره نرم افزار Java، وجود چندین نسخه مختلف از این نرم افزار بر روی یک کامپیوتر است. گزارش شرکت Bit9 نشان می دهد که بیش از 65 درصد از کامپیوترهای سازمانی دارای بیش از دو نسخه متفاوت از Java هستند و حدود 20 درصد نیز دارای بیش از سه نسخه می باشند.
به طور متوسط در هر موسسه بیش از 50 نسخه مختلف از Java بر روی کامپیوترها نصب است. حدود 5 درصد از موسسات نیز بیش از 100 نسخه مختلف از این نرم افزار را بر روی کامپیوترهای خود دارند.
مشکل داشتن چند نسخه از Java بر روی یک کامپیوتر مربوط به نحوه نصب اولیه و به روز رسانی های بعدی این نرم افزار می شود. در نصب مستقیم نسخه Java 7، نسخه های قبلی به طور خودکار حذف نمی شوند. ولی در هنگام به روز رسانی Java 7، سیستم به روز رسانی اقدام به حذف نسخه های قدیمی تر می کند. ولی این عملیات فقط بر روی نسخه Java 6 انجام می شود و هیچ اقدامی برای حذف نسخه قدیمی تر Java 5 صورت نمی گیرد.
در صورت داشتن چندین نسخه مختلف از Java، در صورت سوء استفاده از نقاط ضعف در نسخه های قدیمی، نسخه های جدید Java 7 هیچ واکنشی به عملیات مخرب و نفوذی نشان نخواهد داد و امکانات امنیتی در نسخه جدید بی تاثیر خواهند بود.
اغلب اوقات مدیران شبکه و کاربران از داشتن چندین نسخه مختلف از Java بر روی کامپیوترها بی خبر هستند. در بعضی مواقع نیز برای سازگاری و پشتیبانی از نرم افزارهای کاربردی قدیمی، داشتن و استفاده از نسخه های قدیمی Java ضروری می باشد.
مدیران شبکه های سازمانی باید در مرحله اول، مطمئن شوند که آیا واقعاً نیازی به داشتن Java بر روی کامپیوترهای سازمانی هست یا خیر. اگر نیازی به Java نیست، باید آن را حذف کرده و با استفاده از ابزارهای امنیتی، مانع از نصب و استفاده آن در سازمان شوند. در برخی مواقع، فقط داشتن Java بر روی سرورها کافی است و نیازی به نصب Java بر روی ایستگاه های کاری نمی باشد.
سپس باید کنترل شود که آیا ضرورتی دارد که از نسخه های قدیمی و خاصی از Java استفاده شود. اگر محدودیتی وجود ندارد، حتماً باید اقدام به نصب آخرین نسخه Java گردد و سیستم های به روز رسانی مناسبی برای به روز نگه داشتن Java در سطح شبکه سازمانی به کار گرفته شود.
رایج ترین روش سوء استفاده از نقاط ضعف Java از طریق مرورگرهای اینترنت و افزونه های (add-on) جانبی این مرورگرها می باشد. لذا کامپیوترهای متصل به اینترنت، بیشتر در معرض خطرات و تهدیدات ناشی از نقاط ضعف Java هستند.